Wazuh Server RCE 脆弱性 CVE-2025-24016：Mirai 亜種による攻撃を観測

Critical Wazuh Server RCE Vulnerability Exploited to Deploy Mirai Variants

2025/06/09 CyberSecurityNews — Wazuh サーバに存在する深刻なリモート・コード実行の脆弱性が悪用されていることを、Akamai のセキュリティ研究者たちが発見した。この OSS セキュリティ・プラットフォームの脆弱性 CVE-2025-24016 (CVSS：9.9) は、今年の初めに公表されたものだが、実環境での攻撃が報告されたのは初めてのことである。この脆弱性を悪用する API アクセス権を持つリモート攻撃者は、悪意を持って作成された JSON ファイルを通じて、任意のコードを実行できるようになる。なお、この脆弱性が影響を及ぼす範囲は、Wazuh のバージョン 4.4.0〜4.9.0 である。

この脆弱性が公表されたのは、2025年2月のことである。それから僅か数週間後の 3月下旬に、Akamai の Security Intelligence and Response Team (SIRT) は、グローバル・ハニーポット・ネットワークで、この脆弱性の悪用試行を特定した。

この脆弱性は、Wazuh のマネージャー・パッケージに、具体的には DistributedAPI に存在する安全が確保されないデシリアライズに起因する。DistributedAPI のパラメータは、JSON としてシリアライズされ、その後に as_Wazuh_object 関数でデシリアライズされる。したがって、この脆弱性を悪用する攻撃者は、DAPI リクエストにサニタイズされていない辞書を挿入し、任意の Python コードを評価させる。

先日に発見された攻撃は、2025年2月下旬に公開された PoC エクスプロイトと酷似しており、”/security/user/authenticate/run_as” エンドポイントを標的とし、unhandled_exc 例外を取り込んだ悪意のペイロードを仕掛ける。その一方で研究者たちは、別のエンドポイントである “/Wazuh” に対する攻撃も検知しており、この攻撃者の適応力の高さが示されている。

２種類のボットネット・キャンペーン

Akamai が特定したのは、この脆弱性を悪用して Mirai マルウェアの亜種を配布する、２種類のボットネットである。３月初旬から活動している１つ目のキャンペーンは、”morte” と呼ばれる LZRD Mirai 亜種を展開し、主に IoT デバイスで使用される複数のデバイス・アーキテクチャを標的としている。それらのアーティファクトは、ハードコードされたコンソール文字列 “lzrd here” により識別できる。

2025年5月初旬に発見された２つ目のボットネットは、”Resbot/Resentual” オペレーションに関連する、”resgod” と呼ばれるマルウェアを配布している。

このキャンペーンは、”gestisciweb[.]com” といったふうに、ドメイン名にイタリア語を使用している点が目を引く。その意味は “Web 管理” であり、イタリア語圏のユーザーやインフラを標的としている可能性が示唆される。

どちらのボットネットも、Wazuh の脆弱性を悪用する、高度な攻撃を仕掛けている。最初のキャンペーンは、”nuklearcnc.duckdns.org” や “cbot.galaxias.cc” などの Command and Controlドメインに接続し、マルウェアとして Mirai 亜種の V3G4 バージョンなどを展開する。

この攻撃者は、Wazuh の脆弱性だけに留まらず、様々な攻撃対象を狙っている。研究者たちが確認しているのは、TP-Link Archer AX21 ルーターに影響を及ぼす CVE-2023-1389／Huawei HG532 デバイスを標的化する CVE-2017-17215／ZyXEL ルーターの CVE-2017-18368 などである。

Wazuh の CVE-2025-24016 は、数か月前から公開されているが、現時点では CISA KEV カタログに追加されていない。したがって、Akamaiの調査結果が、最初のアクティブな悪用に関する報告となる。

この急速な武器化は、新たに公開された脆弱性に対して、悪用までの期間を短縮するという、ボットネット運営者たちの継続的な試みを示している。

通常においては、サポート終了デバイスに影響を与える、大半の IoT 関連の脆弱性とは異なり、この脆弱性は古いバージョンで稼働している、アクティブな Wazuh サーバに影響を与えるため、エンタープライズ環境への影響が懸念される。

Wazuh を使用している組織に対して強く推奨されるのは、必要なセキュリティ修正を取り込んだ、バージョン 4.9.1 以降へと速やかにアップグレードすることだ。

今回の発見が浮き彫りにするのは、Mirai ベースのボットネットの継続的な進化と、新たなエクスプロイトを攻撃インフラに迅速に組み込む、運営者の能力である。

Wazuh の脆弱性 CVE-2025-24016 が、実際に悪用されたようです。Akamai の報告によると、2025年2月に発見され、数週間後の 3月には始まったようです。この脆弱性が、6月になって注目を浴びているということは、これまでに以上に積極的な攻撃が観測されているからなのでしょう。よろしければ、2025/02/11 の「Wazuh Server の脆弱性 CVE-2025-24016 (CVSS 9.9) が FIX：PoC もリリース」を、ご参照ください。