Активная эксплуатация RCE CVE-2025-24016 на серверах Wazuh

В феврале 2025 года была обнародована критическая уязвимость удаленного выполнения кода (RCE) CVE-2025-24016, затрагивающая Wazuh версии с 4.4.0 по 4.9.0. Недавние исследования показывают, что уязвимость активно используется двумя отдельными ботнетами для распространения вариантов вредоносного ПО семейства Mirai. Эта ситуация подчеркивает актуальность своевременного обновления систем безопасности и служит предупреждением о серьезных рисках для серверных инфраструктур, использующих Wazuh.

Суть уязвимости и метод атаки

Уязвимость CVE-2025-24016 получила оценку по шкале CVSS 9.9 – практически максимальный уровень критичности. Она позволяет злоумышленникам выполнять произвольный код на сервере путем загрузки специально сформированного JSON-файла через децентрализованные API-запросы (DAPI).

Группа экспертов Akamai Security Intelligence and Response Team (SIRT) впервые зафиксировала реальные попытки эксплуатации в марте 2025 года, всего через месяц после публикации информации об уязвимости, что свидетельствует о высокой заинтересованности злоумышленников.

В ходе атак используется совокупность известных эксплойтов, включая, помимо CVE-2025-24016, уязвимости CVE-2023-1389 и CVE-2017-17215. Основной точкой входа становится API Wazuh, а именно эндпоинт run_as, который позволяет управлять параметром auth_context. Проверка работоспособности концепции (PoC) демонстрирует возможность использования заголовка Authorization в Base64 для запуска Python-кода, что свидетельствует о реальной угрозе для активных серверов.

Ботнеты, эксплуатирующие CVE-2025-24016

Выявлено два отдельных ботнета, реализующих злоумышленнические операции с помощью уязвимости.

• Resbot — первый ботнет, обозначенный в расследовании, демонстрирует связь с доменами с итальянскими именами, что может указывать на ориентированность нападений на пользователей из Италии или италоязычных регионов. Этот ботнет использует уязвимость для загрузки и исполнения вредоносного shell-скрипта, распространяющего нагрузку Mirai под именем morte. Образцы принадлежат к семейству LZRD и поддерживают несколько архитектур, в первую очередь предназначенные для IoT-устройств. Кроме того, выявлена связь с различными Command and Control (C2) доменами и IP-адресами, а также обнаружены связанные вредоносные программы, включая Windows-специфичный RAT (remote access Trojan), замаскированный под легитимный процесс.
• Второй ботнет начал кампанию в мае 2025 года, демонстрируя схожие приемы: злоумышленники также используют вредоносный shell-скрипт для распространения Mirai, данный образец получил название resgod. Как и Resbot, этот ботнет ориентируется на устройства Интернета вещей и характеризуется наличием итальянских доменов, подтверждая возможный географический фокус атак. Отмечено поведение, связанное с активным сканированием уязвимостей, в частности через FTP и Telnet.

Рекомендации по снижению рисков

Поддержание безопасности серверов, использующих Wazuh, становится критически важным на фоне активного использования уязвимости CVE-2025-24016. Эксперты рекомендуют:

• Немедленно обновить Wazuh до версии 4.9.1 или выше;
• Ограничить доступ к API-интерфейсам, особенно к конечной точке run_as;
• Мониторить нетипичную активность и попытки сканирования на FTP и Telnet;
• Проводить регулярные аудиты и тесты на проникновение для своевременного обнаружения угроз;
• Внедрять современные системы обнаружения вредоносного ПО и инцидентов безопасности.

Активная эксплуатация данной уязвимости, а также быстрая адаптация ботнетов к новым эксплойтам демонстрируют, насколько уязвимы остаются сети с устаревшим программным обеспечением. Это напоминает о необходимости регулярного обновления и проактивного подхода к кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.