São Paulo — InkDesign News —
Duas campanhas distintas da botnet Mirai estão explorando uma vulnerabilidade crítica na plataforma de cibersegurança Wazuh, afetando versões entre 4.4.0 e 4.9.1. O CVE-2025-24016, que permite a execução remota de código, foi atribuído uma pontuação CVSS de 9.9.
Vetor de ataque
A vulnerabilidade CVE-2025-24016 resulta de um problema de desserialização insegura. A exploração da falha foi observada a partir de março, após a divulgação pública em fevereiro e a publicação de um exploit de prova de conceito (PoC) no GitHub. Pesquisadores da Akamai relataram uma rápida adoção de técnicas de exploração por operadores de botnets.
Impacto e resposta
As campanhas, identificadas como variantes LZRD e Resbot, visam servidores Wazuh, mostrando a evolução dos alvos das botnets, que geralmente focavam em dispositivos IoT. A primeira campanha usou código semelhante ao PoC da CVE-2025-24016, enquanto a Resbot modificou seu vetor para atacar o endpoint “/Wazuh”. Pesquisadores notaram que os operadores desta campanha se comunicavam em italiano, indicando uma possível origem geográfica.
“É possível que a segunda botnet tenha visto a funcionalidade de exploit que a primeira utilizou anteriormente este ano.
(“It is possible that the second botnet (Resbot) saw the exploit functionality that the first one did earlier this year.”)— Kyle Lefton, Pesquisador, Akamai
Análise e recomendações
A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas Expl exploitadas pela CISA em junho. Contudo, a Wazuh negou que a exploração fosse viável sem credenciais de API administrativas válidas. Para mitigar riscos, recomenda-se a atualização para a versão 4.9.1 ou superior. Pesquisadores alertam que a divulgação pública de PoCs pode facilitar a ação de atacantes, tornando a atualização oportuna essencial para a proteção das organizações.
Com a continuidade das operações de botnets como a Mirai, a perspectiva de futuros ataques cibercriminosos aumenta, exigindo atenção constante das instituições de segurança cibernética.
Fonte: (Dark Reading – Segurança Cibernética)
