بهره‌برداریِ دو بات‌نت متمایز از آسیب‌پذیری سرور Wazuh برای راه‌اندازی حملات مبتنی بر Mirai

یک نقص امنیتی حیاتی در سرور Wazuh که اکنون وصله شده است، توسط عوامل تهدید مورد بهره‌برداری قرار می‌گیرد تا دو نوع مختلف از بات‌نت Mirai را منتشر کرده[۱] و از آن‌ها برای انجام حملات انکار سرویس توزیع‌شده (DDoS) استفاده کند.

Akamai که اولین بار تلاش‌های بهره‌برداری را در اواخر مارس ۲۰۲۵ کشف کرد، گفت که این کمپین مخرب، CVE-2025-24016 (نمره ۹٫۹ در CVSS) را هدف قرار می‌دهد. CVE-2025-24016 یک آسیب‌پذیری deserialization ناامن است[۲] که امکان اجرای کد از راه دور را در سرورهای Wazuh فراهم می‌کند.

این نقص امنیتی[۳] که بر تمام نسخه‌های نرم‌افزار سرور ازجمله ۴٫۴٫۰ و بالاتر تأثیر می‌گذارد، در فوریه ۲۰۲۵ با انتشار ۴٫۹٫۱ برطرف شد. یک بهره‌بردار اثبات ادعا (PoC) تقریباً هم‌زمان با انتشار وصله‌ها به‌طور عمومی افشا شد[۴].

این مشکل ریشه در رابط برنامه‌نویسی کاربردی Wazuh دارد، جایی که پارامترهای موجود در DistributedAPI به‌صورت JSON سریالی شده و با استفاده از “as_wazuh_object” در فایل framework/wazuh/core/cluster/common.py از حالت سریالی خارج می‌شوند. یک عامل تهدید می‌تواند با تزریق کدهای مخرب JSON برای اجرای کد دلخواه پایتون از راه دور، از این آسیب‌پذیری استفاده کند.

این شرکت زیرساخت وب اعلام کرد که تنها چند هفته پس از افشای عمومی این نقص و انتشار اثبات مفهومی، تلاش‌هایی از سوی دو بات‌نت مختلف برای بهره‌برداری از CVE-2025-24016 را کشف کرده است. این حملات در اوایل مارس و مه ۲۰۲۵ ثبت شده‌اند.

کایل لفتون و دنیل مسینگ، محققان امنیتی، در گزارشی که با The Hacker News به اشتراک گذاشته‌اند، گفتند[۵]: این آخرین نمونه از جدول زمانیِ در حال کاهشِ زمانِ بهره‌برداری است که اپراتورهای بات‌نت برای CVEهای تازه منتشرشده اتخاذ کرده‌اند.

در وهله اول، یک بهره‌برداری موفقیت‌آمیز، راه را برای اجرای یک اسکریپت پوسته هموار می‌کند که به‌عنوان دانلودکننده برای بار داده بات‌نت Mirai از یک سرور خارجی (“۱۷۶٫۶۵٫۱۳۴[.]۶۲”) برای معماری‌های مختلف عمل می‌کند. ارزیابی شده است که نمونه‌های بدافزار، انواعی از LZRD Mirai هستند که از سال ۲۰۲۳ وجود داشته است.

شایان ذکر است که LZRD اخیراً در حملاتی که از دستگاه‌های اینترنت اشیا (IoT) پایان عمر GeoVision (EoL) بهره‌برداری می‌کردند، نیز به کار گرفته شده است[۶]. بااین‌حال، Akamai به The Hacker News گفت که با توجه به اینکه LZRD توسط اپراتورهای بی‌شماری از بات‌نت استفاده می‌شود، هیچ مدرکی وجود ندارد که این دو خوشه فعالیت، کار یک عامل تهدید یکسان باشند.

تجزیه‌وتحلیل بیشتر زیرساخت “۱۷۶٫۶۵٫۱۳۴[.]۶۲” و دامنه‌های مرتبط با آن منجر به کشف نسخه‌های دیگر بات‌نت Mirai، ازجمله انواع LZRD به نام‌های “neon” و “vision” و یک نسخه به‌روز شده از V3G4 شده است[۷].

برخی از نقص‌های امنیتی دیگر که توسط این بات‌نت مورد بهره‌برداری قرار گرفته‌اند شامل نقص‌هایی در Hadoop YARN، TP-Link Archer AX21 (CVE-2023-1389) و یک اشکال اجرای کد از راه دور در روترهای ZTE ZXV10 H108L هستند[۸].

دومین بات‌نتی که از CVE-2025-24016 بهره‌برداری کرد، از استراتژی مشابهی برای استفاده از یک اسکریپت پوسته مخرب برای ارائه نوع دیگری از بات‌نت Mirai به نام Resbot (معروف به Resentual) استفاده می‌کند.

محققان گفتند: “یکی از نکات جالبی که در مورد این بات‌نت متوجه شدیم، زبان مرتبط با آن بود. این بات‌نت از دامنه‌های متنوعی برای پخش بدافزار استفاده می‌کرد که همگی دارای نام‌گذاری ایتالیایی بودند. قراردادهای نام‌گذاری زبانی می‌تواند نشان‌دهنده یک کمپین برای هدف قرار دادن دستگاه‌های متعلق به کاربران ایتالیایی زبان باشد.”

علاوه بر تلاش برای گسترش روی پورت ۲۱ و انجام اسکن تل‌نت، مشخص شده است که این بات‌نت از طیف گسترده‌ای از اکسپلویت‌ها برای هدف قرار دادن روتر Huawei HG532 (CVE-2017-17215)، Realtek SDK (CVE-2014-8361) و TrueOnline ZyXEL P660HN-T v1 (CVE-2017-18368) استفاده می‌کند.

محققان گفتند: “انتشار Mirai نسبتاً بدون وقفه ادامه دارد، زیرا تغییر کاربری و استفاده مجدد از کد منبع قدیمی برای راه‌اندازی یا ایجاد بات‌نت‌های جدید نسبتاً ساده است. اپراتورهای بات‌نت اغلب می‌توانند با استفاده از اکسپلویت‌های تازه منتشرشده، به موفقیت دست یابند.”

CVE-2025-24016 تنها آسیب‌پذیری مورد بهره‌برداری توسط انواع بات‌نت Mirai نیست. در حملات اخیر، عوامل تهدید همچنین از CVE-2024-3721، یک آسیب‌پذیری تزریق فرمان[۹] با شدت متوسط ​​که دستگاه‌های ضبط ویدیوی دیجیتال TBK DVR-4104 و DVR-4216 را تحت تأثیر قرار می‌دهد، برای جذب آن‌ها به بات‌نت استفاده کرده‌اند.

این آسیب‌پذیری برای اجرای یک اسکریپت shell که مسئول دانلود بات‌نت Mirai از یک سرور از راه دور (“۴۲٫۱۱۲٫۲۶[.]۳۶”) و اجرای آن است، استفاده می‌شود، اما قبل از آن بررسی می‌شود که آیا در حال حاضر در یک ماشین مجازی یا QEMU در حال اجرا است یا خیر.

شرکت امنیت سایبری روسی کسپرسکی اعلام کرد که این آلودگی‌ها در اطراف چین، هند، مصر، اوکراین، روسیه، ترکیه و برزیل متمرکز شده‌اند و افزود که بیش از ۵۰،۰۰۰ دستگاه DVR در معرض خطر را به‌صورت آنلاین شناسایی کرده است.

اندرسون لیت، محقق امنیتی، گفت[۱۰]: “بهره‌برداری از نقص‌های امنیتی شناخته‌شده در دستگاه‌ها و سرورهای IoT که وصله نشده‌اند، همراه با استفاده گسترده از بدافزارهایی که سیستم‌های مبتنی بر لینوکس را هدف قرار می‌دهند، منجر به جستجوی مداوم تعداد قابل‌توجهی از بات‌ها در اینترنت برای یافتن دستگاه‌هایی برای آلوده کردن می‌شود.”

این افشاگری در حالی صورت می‌گیرد که طبق آمار به اشتراک گذاشته‌شده توسط StormWall، چین، هند، تایوان، سنگاپور، ژاپن، مالزی، هنگ‌کنگ، اندونزی، کره جنوبی و بنگلادش در سه‌ماهه اول سال ۲۰۲۵ به‌عنوان کشورهای هدف در منطقه آسیا-اقیانوسیه ظاهر شده‌اند.

این شرکت اعلام کرد[۱۱]: “سیل API و بمباران فرش سریع‌تر از حملات حجمی سنتی TCP/UDP در حال رشد هستند و شرکت‌ها را به سمت اتخاذ دفاع‌های هوشمندانه‌تر و انعطاف‌پذیرتر سوق می‌دهند. درعین‌حال، افزایش تنش‌های ژئوپلیتیکی باعث افزایش حملات به سیستم‌های دولتی و تایوان شده است – که نشان‌دهنده افزایش فعالیت هکرها و عوامل تهدید تحت حمایت دولت است.”

همچنین پس از هشدار دفتر تحقیقات فدرال ایالات‌متحده (FBI) مبنی بر اینکه بات‌نت [۱۲]BADBOX 2.0 میلیون‌ها دستگاه متصل به اینترنت را که اکثر آن‌ها در چین تولید می‌شوند، آلوده کرده است تا آن‌ها را به پروکسی‌های مسکونی برای تسهیل فعالیت‌های مجرمانه تبدیل کند.

اف‌بی‌آی اعلام کرد[۱۳]: «مجرمان سایبری با پیکربندی محصول با نرم‌افزارهای مخرب قبل از خرید کاربر یا آلوده کردن دستگاه هنگام دانلود برنامه‌های موردنیاز که حاوی درهای پشتی هستند، معمولاً در طول فرآیند راه‌اندازی، به شبکه‌های خانگی دسترسی غیرمجاز پیدا می‌کنند.»

بات‌نت BADBOX 2.0 شامل میلیون‌ها دستگاه آلوده است و درهای پشتی متعددی را برای سرویس‌های پروکسی نگه می‌دارد که مجرمان سایبری با فروش یا ارائه دسترسی رایگان به شبکه‌های خانگی آسیب‌دیده برای استفاده در فعالیت‌های مجرمانه مختلف، از آن‌ها بهره‌برداری می‌کنند.

منابع

[۱] https://thehackernews.com/2025/01/mirai-botnet-launches-record-56-tbps.html

[۲] https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh

[۳] https://www.sonicwall.com/blog/critical-wazuh-rce-vulnerability-cve-2025-24016-risks-exploits-and-remediation

[۴] https://github.com/MuhammadWaseem29/CVE-2025-24016

[۵] https://www.akamai.com/blog/security-research/botnets-flaw-mirai-spreads-through-wazuh-vulnerability

[۶] https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html

[۷] https://apa.aut.ac.ir/?p=9493

[۸] https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread

[۹] https://github.com/netsecfish/tbk_dvr_command_injection

[۱۰] https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/

[۱۱] https://stormwall.network/resources/blog/ddos-report-apac-q1-2025

[۱۲] https://thehackernews.com/2025/03/badbox-20-botnet-infects-1-million.html

[۱۳] https://www.ic3.gov/PSA/2025/PSA250605

[۱۴] https://thehackernews.com/2025/06/botnet-wazuh-server-vulnerability.html