Thought Leadership
Cybersecurity-Forscher warnen vor gezielten Angriffen auf eine kürzlich bekannt gewordene Schwachstelle in der Open-Source-Sicherheitsplattform Wazuh.
Die Schwachstelle mit der Kennung CVE-2025-24016 erlaubt Angreifern, Schadcode aus der Ferne auszuführen – und wird seit Ende März 2025 erstmals aktiv ausgenutzt.
Schwachstelle öffnet Tür für Botnetz-Angriffe
Laut Sicherheitsanalysten des Unternehmens Akamai wurde die Lücke durch spezielle API-Anfragen (DAPI) in Kombination mit manipulierten Wörterbuchdateien ausgenutzt. Die Angreifer verschaffen sich so Kontrolle über verwundbare Systeme – ohne physischen Zugriff.
Beunruhigend ist dabei: Bereits zwei verschiedene Malware-Kampagnen – beide Varianten des bekannten Mirai-Botnetzes – nutzen die Schwachstelle gezielt aus. Eine davon, die unter dem Namen „Resbot“ bekannt wurde, verwendet Domains mit italienischer Namensgebung, was auf eine mögliche regionale Ausrichtung oder Sprachlokalisierung der Opfer hindeuten könnte.
Erste Angriffe über Honeypots entdeckt
Die ersten Anzeichen für die aktive Ausnutzung stammen aus einem weltweiten Netz von Honeypots, die Akamai betreibt. Die Aktivitäten wurden im März 2025 beobachtet – nur wenige Wochen nach der Offenlegung der Schwachstelle im Februar. Dabei wurde nicht nur die neue Lücke ausgenutzt, sondern auch auf eine ganze Reihe älterer Schwachstellen zurückgegriffen, darunter CVE-2023-1389, CVE-2017-17215 und CVE-2017-18368.
Die anhaltende Bedrohung durch Mirai zeigt, wie leicht es für Cyberkriminelle ist, bekannte Malware weiterzuentwickeln und neue Systeme ins Visier zu nehmen. Die einfache Wiederverwendung von Quellcode, kombiniert mit frisch entdeckten Sicherheitslücken, macht Botnetze weiterhin zu einem ernstzunehmenden Risiko.
Sicherheitslücke bisher nicht offiziell als aktiv ausgenutzt gelistet
Obwohl CVE-2025-24016 seit Monaten dokumentiert ist, wurde sie bislang nicht in den KEV-Katalog (Known Exploited Vulnerabilities) der US-amerikanischen Cybersicherheitsbehörde CISA aufgenommen. Auch offizielle Meldungen über aktive Angriffe lagen bis zur Beobachtung durch Akamai nicht vor.
Im Gegensatz zu vielen älteren Schwachstellen, die oft nur veraltete oder abgeschaltete Systeme betreffen, ist CVE-2025-24016 auch auf produktiven Wazuh-Servern mit veralteten Versionen wirksam. Nutzerinnen und Nutzer sind dringend aufgerufen, ein Update auf Version 4.9.1 oder neuer durchzuführen, da diese Version einen entsprechenden Sicherheitspatch enthält.
Die aktuelle Bedrohungslage zeigt einmal mehr, wie wichtig es ist, Sicherheitsupdates zügig umzusetzen. Veraltete Softwareversionen in aktiven Systemen bieten ein Einfallstor für automatisierte Angriffe, die inzwischen immer schneller nach Bekanntwerden von Schwachstellen erfolgen.
