Thought Leadership
Cyberkriminelle nutzen eine gravierende Schwachstelle in der Open-Source-Sicherheitsplattform Wazuh aus, um Schadsoftware zu verbreiten. Die Angriffe setzen auf Varianten des berüchtigten Mirai-Botnets und starten massive DDoS-Attacken.
Einfallstor für Fernangriffe
Eine kritische Sicherheitslücke in der Open-Source-Plattform Wazuh sorgt derzeit für Alarmstimmung in der IT-Sicherheitsbranche. Die Schwachstelle mit der Kennung CVE-2025-24016, bewertet mit einem CVSS-Score von 9.9, ermöglicht es Angreifern, aus der Ferne Schadcode auszuführen – und das auf einem zentralen Bestandteil vieler SIEM- und IDS-Systeme. Besonders brisant: Die Lücke wird inzwischen aktiv genutzt, um Botnet-Malware zu verbreiten.
Fernsteuerung durch manipulierte JSON-Daten
Der Angriff erfolgt über die Wazuh-API: Hier werden JSON-Parameter durch eine unsichere Deserialisierung verarbeitet. Cyberkriminelle schleusen gezielt bösartige Datenpakete ein, die auf betroffenen Servern Python-Code ausführen – und somit Tür und Tor für weitere Angriffe öffnen. Die Schwachstelle betrifft alle Serverversionen ab 4.4.0, wurde aber im Februar 2025 mit Version 4.9.1 behoben. Kurz darauf tauchte auch ein Proof-of-Concept auf, der die Ausnutzbarkeit demonstrierte.
Zwei bekannte Botnetze im Einsatz
Innerhalb weniger Wochen nach der Veröffentlichung der Sicherheitslücke registrierten Experten von Akamai erste Angriffsversuche. Dabei wurde ein Shell-Skript nachgeladen, das verschiedene Varianten der Mirai-Malware auf infizierten Servern installierte – darunter die Versionen LZRD Mirai und Resbot. Beide Varianten sind für ihre Fähigkeit bekannt, großangelegte DDoS-Attacken durchzuführen.
Mögliche Zielgruppe im italienischen Raum
Obwohl über die Täter noch wenig bekannt ist, deuten zahlreiche kompromittierte Domains mit italienischen Namen auf eine mögliche Fokussierung auf italienischsprachige Nutzer hin. Die Forscher warnen jedoch: Die betroffene Schwachstelle und die Mirai-Malware kennen keine geografischen Grenzen – und sind Teil einer wachsenden Zahl automatisierter Angriffe auf ungeschützte Systeme.
Updates wichtiger denn je
Die Geschwindigkeit, mit der Exploits nach der Entdeckung von Schwachstellen entstehen, nimmt rasant zu. Unternehmen bleiben oft nur wenige Tage oder Wochen Zeit, um ihre Systeme abzusichern. Administratoren sollten deshalb keine Zeit verlieren und dringend sicherstellen, dass ihre Wazuh-Server auf dem neuesten Stand sind.
Fazit
Dieser Fall zeigt erneut, wie schnell sich Sicherheitslücken in reale Bedrohungen verwandeln können. Wer bei Updates zögert, riskiert die Kontrolle über seine Systeme – und wird Teil eines globalen Botnetzes.
(vp/8com GmbH & Co. KG)
