Falha crítica no Wazuh permitiu expansão de botnets Mirai
A falha crítica no Wazuh Server (CVE‑2025‑24016) tem permitido a exploração por atacantes para expandir botnets como o Mirai, resultando em ataques DDoS. É fundamental atualizar o Wazuh para a vers...
Resumo rápido
A falha crítica no Wazuh Server (CVE‑2025‑24016) tem permitido a exploração por atacantes para expandir botnets como o Mirai, resultando em ataques DDoS. É fundamental atualizar o Wazuh para a versão 4.9.1 ou posterior e restringir o acesso à API para evitar compromissos.
Neste artigo você vai aprender:
- O que é a falha crítica no Wazuh e seu impacto.
- Como a vulnerabilidade tem sido explorada por atacantes.
- Sinais de alerta para identificar possíveis ataques.
- Medidas imediatas para se proteger contra a exploração da falha.
- Boas práticas para prevenir futuras vulnerabilidades.
O que é a falha crítica no Wazuh?
A falha crítica no Wazuh Server (CVE‑2025‑24016) tem sido explorada em campo por atacantes para distribuir variantes do botnet Mirai, resultando em ataques DDoS. O risco é especialmente grave para servidores expostos à Internet que não foram atualizados.
Como funciona
Instalada nas versões 4.4.0 a 4.9.0, a vulnerabilidade permitia execução remota de código via deserialização insegura de payload JSON na API do Wazuh. Após o lançamento da correção em fevereiro de 2025 (versão 4.9.1), operadoras de botnets aproveitaram um exploit de prova de conceito para automatizar comprometimentos.
Sinais de alerta / Como identificar
Segundo a equipe da Akamai, dois ataques distintos foram detectados:
- O primeiro, identificado em março de 2025, usava scripts para baixar e executar o Mirai em múltiplas arquiteturas, aplicando ataques contra servidores Hadoop, roteadores TP‑Link e ZTE.
- O segundo, observado em maio, entregava uma variante chamada Resbot (ou Resentual), com domínios em italiano, indicando um foco geográfico específico e evidências de tentativas por FTP, telnet e uso de vulnerabilidades conhecidas de equipamentos IoT antigos.
O que fazer agora / Como se proteger
Dica de prevenção
- Atualize imediatamente qualquer instância do Wazuh afetada para a versão 4.9.1 ou posterior.
- Restrinja o acesso à API do Wazuh apenas a endereços confiáveis (firewall ou VPN).
- Monitore logs e ative alertas para atividades suspeitas, como downloads de binários externamente.
- Implemente controles de segurança em camadas: varredura regular de vulnerabilidades, segregação de rede, e reforço de autenticação com MFA.
Prevenção / Boas práticas
Manter atualizações em dia e reduzir a exposição da API são medidas essenciais para evitar que botnets como Mirai se aloquem em seus sistemas, causando desde DDoS até uso malicioso de recursos.
Perguntas frequentes
Qual é a gravidade da falha no Wazuh?
A falha permite execução remota de código, tornando os sistemas vulneráveis a ataques DDoS e comprometimentos por botnets, especialmente se não atualizado.
Como posso proteger meu servidor Wazuh?
Atualize para a versão 4.9.1 ou posterior, restrinja o acesso à API e monitore atividades suspeitas.
Quais são os sinais de que meu servidor pode estar comprometido?
Atividades suspeitas em logs, downloads não autorizados de binários e acessos não reconhecidos à API são sinais de alerta.
Proteja sua infraestrutura com a LC Sec
Na LC Sec, ajudamos a identificar e remediar brechas em ambientes híbridos e nuvem. Se você tem Wazuh instalado ou quer garantir a segurança da sua infraestrutura, conte com nossa equipe para diagnóstico, auditoria e fortalecimento de segurança.
Receba as principais notícias de cibersegurança
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendências diretamente no seu email.
Compartilhe nas redes sociais:
