一般而言,僵尸网络攻击主要锁定的标的,大多是缺乏安全防护与相关管理的物联网设备,例如:SOHO或家用路由器、NAS、网络摄影机,利用安全漏洞渗透设备。然而近期有一起攻击行动相当不寻常,黑客锁定的标的竟是一套安全系统。
安全企业Akamai披露专门针对开源安全监控平台Wazuh的攻击行动,有两个僵尸网络Mirai变种自3月下旬锁定已知的重大层级漏洞CVE-2025-24016而来,入侵并控制Wazuh服务器。而对于这些僵尸网络的来历,一个是专门针对物联网设备的LZRD(也称作Morte),另一个是使用意大利语的人士经营的Resbot(Resentual)。
Wazuh是开源的安全资讯与事件管理(SIEM)、XDR平台,专门用来协助企业组织入侵侦测、事件记录分析、漏洞管理、合规监控,由于其开源的特性,拥有广泛的用户社交媒体,并在中小企业、教育机构、政府机关受到欢迎,也是安全研究人员常会用于打造定制化SIEM的平台,今年台湾安全大会恰巧有IT专家以Wazuh为题发布演讲,向安全社交媒体介绍这套开放源码安全平台。此安全平台号称已保护超过10万个企业组织、1,500万台端点,每年被下载超过3千万次,其开源项目并在GitHub获得超过1.2万颗星,足见其受到欢迎的程度。
而这次黑客利用的安全漏洞CVE-2025-24016,Wazuh于今年2月公告及修补,此漏洞存在于DistributedAPI组件,属于不安全的反串行化处理弱点,一旦攻击者通过API访问Wazuh服务器,就有机会注入恶意JSON酬载,并远程执行任何Python程序代码,影响4.4.0至4.9.0版Wazuh,CVSS风险达到9.9(满分10分),Wazuh发布4.9.1版修补漏洞。
有别于其他针对物联网设备的僵尸网络攻击,由于Wazuh服务器本身能汇集可找出安全事件的各式记录,一旦黑客成功控制这类服务器,不光能运用服务器的能力从事DDoS攻击、挖矿、传播恶意软件,我们推测,或许也将进一步挖掘或篡改存放于该平台的数据,掌握企业的网络环境,并发展其他形态的攻击行动。
这些僵尸网络不约而同盯上Wazuh重大漏洞并用于攻击,突显可能已有不少这类系统直接暴露在网际网络,以及未及时套用新版软件的现象,使得攻击者有机可乘,得以利用漏洞来入侵这类安全平台。
