Akamai 安全情報與應變團隊發現,兩個不同的 Mirai 殭屍網路變種正在利用開源網路安全平台 Wazuh 中的一個重大漏洞進行攻擊。此事件再次凸顯殭屍網路駭客對新披露 CVE 漏洞的利用時程持續縮短。
高風險漏洞遭積極利用
受攻擊的漏洞為 CVE-2025-24016,這是 Wazuh 網路安全平台中的遠端程式碼執行漏洞(CVSS:9.9)。該漏洞源於不安全的反序列化問題,影響 Wazuh 平台 4.4.0 至 4.9.1 版本。
CVE-2025-24016 於 2025 年 2 月 10 日公開披露,概念驗證(PoC)攻擊程式碼隨後在該月稍晚於 GitHub 上發布。Akamai 研究人員觀察到實際利用活動從 3 月初開始。
Akamai 研究員 Kyle Lefton 和 Daniel Messing 在部落格文章中指出:「這是殭屍網路駭客對新披露 CVE 漏洞採用不斷縮短利用時程的最新例證。」
兩波不同攻擊活動分析
第一波攻擊活動始於 3 月初,涉及 LZRD Mirai 變種。與常見的 Mirai 殭屍網路類似,該變種支援多種不同架構,主要鎖定物聯網設備。然而,與大多數針對安全防護薄弱的物聯網和連網消費電子設備的 Mirai 殭屍網路不同,此次攻擊還鎖定了網路安全平台。
第二波攻擊活動被研究人員命名為「Resbot」,於 5 月接續發動攻擊。與其他 Mirai 變種相同,該攻擊同樣利用存在漏洞的 Wazuh 實例,並搭載了可針對多種物聯網設備架構的攻擊載荷。
Akamai 研究人員發現兩個攻擊活動之間存在顯著差異:第一波攻擊使用與 CVE-2025-24016 PoC 相同的程式碼。而Resbot 攻擊活動使用不同程式碼,鎖定「/Wazuh」端點而非「/security/user/authenticate/run_as」端點。
研究人員發現Resbot 指向義大利語系威脅行為者的線索。研究人員表示,我們注意到這個殭屍網路的一個有趣特點是相關語言。它使用多個具有義大利命名法的網域來傳播惡意程式,例如『gestisciweb.com』,可簡要翻譯為『管理網路』。
概念驗證程式碼的風險
Mirai 殭屍網路近十年來持續透過DDoS攻擊造成全球性破壞。最初的 Mirai 惡意程式於 2016 年由一群年輕駭客所開發,其目的是對託管熱門線上遊戲 Minecraft 的伺服器發動攻擊。Mirai 的開發者公開釋出原始碼,使其他威脅行為者和網路犯罪集團能夠製作自己的殭屍網路。這引發了一系列針對關鍵目標的毀滅性 DDoS 攻擊,流量規模在當時史無前例。
近十年後,使用 Mirai 變種的物聯網殭屍網路仍持續在全球造成問題,但在最新的攻擊活動中,殭屍網路有了新目標。
美國網路安全暨基礎設施安全局(CISA)於 6 月 9 日將 CVE-2025-24016 加入已知被利用漏洞目錄。雖然這些攻擊活動展現了 Mirai 變種的持續傳播,但殭屍網路也顯示了公開釋出已知漏洞 PoC 程式碼的風險。
專家指出,雖然 CVE 計畫整體上對產業有益,但有時也可能是雙刃劍,因為它會讓原本可能被惡意行為者忽略的漏洞受到關注。
研究人員原本希望透過建立 PoC 來教育組織認識漏洞的重要性,但這些努力卻持續產生負面效應,凸顯了組織在修補程式發布後立即更新系統的急迫性。
專家建議與防護措施
Akamai 敦促組織升級至 Wazuh 4.9.1 版或更新版本。研究人員也警告,殭屍網路營運者密切關注公開的漏洞披露,並會迅速將任何可用的 PoC 程式碼武器化,因此及時修補應是所有組織的優先事項。
研究人員表示,殭屍網路營運者往往具有機會主義特質,這可能是一個攻擊活動利用公開概念驗證的案例,而另一個攻擊活動基本上是在模仿第一個。這次的Resbot可能看到了第一個在今年稍早的攻擊而跟進攻擊。
這次針對網路安全產品的攻擊,再次提醒資安業界,即使是專門用於保護其他系統的安全產品本身也可能成為攻擊目標,組織必須確保所有系統,包括安全工具,都要保持最新的修補程式。
相關文章:中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
本文轉載自darkreading。