U.S. CISA adds Wazuh, and WebDAV flaws to its Known Exploited Vulnerabilities catalog
2025/06/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の2件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
- CVE-2025-24016 (CVSS:9.9):Wazuh サーバにおける信頼できないデータに対するデシリアライズ脆弱性
- CVE-2025-33053 (CVSS:8.8):WebDAV (Web Distributed Authoring and Versioning) における、ファイル名またはパスの外部制御の脆弱性
今週のことだが、Wazuh サーバに影響を及ぼす深刻なリモート・コード実行の脆弱性 CVE-2025-24016 を、複数の Mirai ボットネットが悪用していると、Akamai の研究者たちが警告を発していた。
OSS セキュリティ・プラットフォームである Wazuh は、脅威検出/侵入検知/ログデータ分析/コンプライアンス監視などを提供するものだ。したがって、数多くの組織において、エンドポイント/インフラ監視する目的で、Wazuh が導入されている。
NVD のページでは、以下のように説明されている:
NVD — Wazuh バージョン 4.4.0〜4.9.1 未満に存在する、安全が確保されないデシリアライズの脆弱性により、リモート・コード実行が可能になる。具体的には、DistributedAPI パラメーターは、JSON 形式でシリアライズされ、as_wazuh_object (framework/wazuh/core/cluster/common.py) を用いてデシリアライズされる。
攻撃者が、未検証のディクショナリ・データを、DAPI リクエスト/レスポンスに注入すると、特殊な例外 (__unhandled_exc__) を偽装した任意の Python コードの実行が可能になる。
この脆弱性は、API アクセス権限を持つ任意のユーザーから、また、特定のコンフィグ下における侵害されたエージェントから、トリガーされる可能性がある。なお、この脆弱性は、バージョン 4.9.1 で修正されている。— NVD
この脆弱性を悪用して任意のコードを実行する PoC コードの存在を、研究者たちは確認している。
Akamai SIRT が確認したのは、RCE の脆弱性 CVE-2025-24016 が、DAPI リクエストの乱用により実際に悪用されていることである。研究者たちによると、“Resbot” などの2つの Mirai ボットネットの亜種が、2025年3月以降において、この脆弱性を悪用しているという。それは、この脆弱性が 2025年2月に公表されて以降に初めて確認された、実際の悪用事例である。
Akamai のレポートには、「Mirai の亜種による2つのキャンペーンが、この脆弱性を悪用していること確認した。そのうちの1つである “Resbot” には、イタリア語風のドメイン名が使われていることから、標的となる地域やデバイスでユーザーが用いる言語が示唆される」と記されている。
2025年3月に攻撃者たちは、この脆弱性 CVE-2025-24016 を悪用するシェル・スクリプトを Wazuh サーバで用いて、Mirai の最初の変種 (主に LZRD 系) を IoT デバイスに展開した。
これらの “morte” と名付けられたサンプルは、複数のアーキテクチャに対応し、nuklearcnc.duckdns[.]org や galaxias[.]cc といった C2 ドメインと通信していた。その他にも、neon や k03ldc といったサンプルが見つかっている。それぞれが、V3G4 や LZRD の変種との関連性を持ち、独自のコンソール文字列を使っていた。
さらに、このボットネットは、Hadoop YARN/TP-Link AX21/ZTE ルーターなどの脆弱性も悪用しており、動的インフラを用いて検出を回避しながら、急速に拡散している。
2025年5月には2つ目のボットネットが、Wazuh のエンドポイントを同様のシェル・スクリプトで攻撃し、“resgod”という Mirai の変種を展開した。このマルウェアは、”Resentual got you!” という文字列を含み、前述の変種と同様に、複数の IoT アーキテクチャを標的としていた。使用されていたドメインでは、gestisciweb.com などイタリア語風の名称が用いられていることから、イタリア語圏の被害者を狙っている可能性が高い。
このマルウェアは、TCP ポート 62627 を介して 104.168.101[.]27 と通信し、FTP と Telnet 経由で拡散していく。さらに、Huawei/Realtek/ZyXEL ルーターなどの RCE 脆弱性も悪用し、暗号化されていない文字列と広範なスキャン機能を介して、高速な感染拡大を実現している。
Akamai は、Mirai ボットネットの変種を検出するための侵害指標 (IoC:indicators of compromise) を公開している。
脆弱性 CVE-2025-33053 は、WebDAV の外部ファイル名/パスの制御の問題であり、ネットワーク経由でのリモート・コード実行を攻撃者に許すものだ。
拘束力のある運用指令 BOD 22-01:米政府の FCEB 機関は、これらの脆弱性を悪用する攻撃からネットワークを保護するために、期限までに対処する必要がある。CISA は連邦政府機関に対して、2025年7月1日までに、一連の脆弱性を修正するよう命じている。
なお、専門家たちが民間組織に推奨するのは、KEV カタログを確認し、インフラの脆弱性に対処することだ。
Wazuh サーバの脆弱性が実際に悪用され、CISA KEV リストに登録されました。Mirai ボットネットのようなマルウェアが、最新の脆弱性を素早く取り込んで拡散していくスピードが速いですね。もう一方の WebDAV ですが、 あまり紙面が割かれていません。よろしければ、CVE-2025-33053 で検索してください。Wazuh の脆弱性も、CVE-2025-24016 で検索が可能です。
IoT OT Security News 
You must be logged in to post a comment.