A vulnerabilidade crítica CVE-2025-24016, que afeta servidores da plataforma de segurança Wazuh, está sendo explorada por botnets Mirai, segundo alerta publicado pela Akamai. A falha permite execução remota de código por meio de desserialização insegura e impacta versões da plataforma entre 4.4.0 e 4.9.0. O patch foi incluído na versão 4.9.1, publicada em fevereiro.
Leia também
Nvidia se declara empresa de infraestrutura de IA
Servidor expõe instalações nucleares bélicas
Os desenvolvedores explicaram que o problema pode ser acionado por usuários com acesso à API do Wazuh, inclusive por agentes comprometidos em determinadas configurações. Após a divulgação pública, já foram publicados códigos de prova de conceito para ataques de negação de serviço e execução arbitrária de comandos.
Dados dos honeypots da Akamai indicam que ataques reais começaram em março. A empresa identificou duas campanhas diferentes envolvendo botnets Mirai explorando a falha. Na primeira, o código malicioso baixava e executava uma carga útil com o malware Mirai. Os mesmos operadores também exploravam vulnerabilidades em serviços Hadoop YARN e em roteadores TP-Link e ZTE.
A segunda campanha foi registrada em maio e, segundo a Akamai, pode ter como alvo principal usuários que falam italiano. A empresa destacou que o reaproveitamento do código-fonte do Mirai facilita a criação de novas variantes, especialmente com base em falhas recém-divulgadas.
Indicadores de comprometimento foram publicados para auxiliar equipes de segurança na detecção e mitigação dos ataques. A Kaspersky também informou ter detectado recentemente uma nova onda de ataques Mirai que exploram a falha CVE-2024-3721, visando dispositivos DVR da TBK.
