Patchez Wazuh : ces deux variantes du Botnet Mirai exploitent une faille de sécurité critique !
Une faille de sécurité critique dans Wazuh Server (CVE-2025-24016) a été exploitée par de nouvelles campagnes liées à des variantes du botnet Mirai. Comment se protéger ? Faisons le point.
Wazuh Server : une faille de critique patchée et exploitée
Identifiée fin mars 2025 par les équipes d’Akamai, cette faille de sécurité est associée à la référence CVE-2025-24016 et à un score CVSS de 9.9 sur 10. Cette faille de désérialisation non sécurisée dans l'API de Wazuh Server permet une exécution de code Python à distance via l'injection de charges utiles JSON malveillantes. Elle affecte toutes les versions de Wazuh Server à partir de la version 4.4.0.
Bien que corrigée dès février 2025 avec la publication de la version 4.9.1 de Wazuh Server, la disponibilité simultanée d’un exploit PoC sur un dépôt GitHub a précipité son exploitation par les pirates informatiques. Les chercheurs d'Akamai précisent : "C’est le dernier exemple en date du raccourcissement constant du délai entre la publication des CVE et leur exploitation par les opérateurs de botnets."
En quelques semaines, deux réseaux de botnets distincts basés sur une variante du célèbre Mirai ont commencé à tirer parti de cette vulnérabilité. La première attaque a été repérée par Akamai en mars 2025.
Wazuh Server ciblé par des botnets
Dans un premier cas, l’exploitation réussie de cette vulnérabilité déclenche l’exécution d’un script Shell qui va télécharger et déployer une version modifiée du botnet Mirai depuis un serveur distant ("176.65.134[.]62"). Cette variante, identifiée sous le nom de LZRD Mirai, est active depuis 2023.
Un second botnet exploite également la CVE-2025-24016 en s’appuyant sur un mode opératoire similaire, mais le malware distribué n'est pas tout à fait le même. En effet, il s'agit d'une autre variante de Mirai nommée Resbot (ou Resentual).
Le rapport publié par Akamai explique que ce second botnet pourrait spécifiquement cibler les italophones. "L'un d'entre eux, "Resbot", utilise la nomenclature italienne dans ses domaines, ce qui pourrait faire allusion à la zone géographique ciblée ou à la langue parlée par le propriétaire de l'appareil concerné.", peut-on lire.
Le botnet Mirai reste une menace active et constante depuis plusieurs années, notamment grâce à la création de nombreuses variantes. Les chercheurs précisent : "La propagation de Mirai se poursuit relativement sans relâche, car il reste assez simple de réutiliser d'anciens codes sources pour mettre en place ou créer de nouveaux réseaux de zombies."
Vous pouvez retrouver une liste de domaines et d'adresses IP malveillants dans le rapport d'Akamai. Ces informations correspondent notamment aux serveurs C2 des pirates de ces deux botnets.
