Blog

Falha crítica no Wazuh permitiu expansão de botnets Mirai

Escrito por LC Sec | 10/06/2025 16:16:50
Segurança da Informação

Falha crítica no Wazuh permitiu expansão de botnets Mirai

A falha crítica no Wazuh Server (CVE‑2025‑24016) tem permitido a exploração por atacantes para expandir botnets como o Mirai, resultando em ataques DDoS. É fundamental atualizar o Wazuh para a vers...

Navegação

O que é a falha crítica no Wazuh? Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

A falha crítica no Wazuh Server (CVE‑2025‑24016) tem permitido a exploração por atacantes para expandir botnets como o Mirai, resultando em ataques DDoS. É fundamental atualizar o Wazuh para a versão 4.9.1 ou posterior e restringir o acesso à API para evitar compromissos.

Neste artigo você vai aprender:

  • O que é a falha crítica no Wazuh e seu impacto.
  • Como a vulnerabilidade tem sido explorada por atacantes.
  • Sinais de alerta para identificar possíveis ataques.
  • Medidas imediatas para se proteger contra a exploração da falha.
  • Boas práticas para prevenir futuras vulnerabilidades.

O que é a falha crítica no Wazuh?

A falha crítica no Wazuh Server (CVE‑2025‑24016) tem sido explorada em campo por atacantes para distribuir variantes do botnet Mirai, resultando em ataques DDoS. O risco é especialmente grave para servidores expostos à Internet que não foram atualizados.

Como funciona

Instalada nas versões 4.4.0 a 4.9.0, a vulnerabilidade permitia execução remota de código via deserialização insegura de payload JSON na API do Wazuh. Após o lançamento da correção em fevereiro de 2025 (versão 4.9.1), operadoras de botnets aproveitaram um exploit de prova de conceito para automatizar comprometimentos.

Sinais de alerta / Como identificar

Segundo a equipe da Akamai, dois ataques distintos foram detectados:

  • O primeiro, identificado em março de 2025, usava scripts para baixar e executar o Mirai em múltiplas arquiteturas, aplicando ataques contra servidores Hadoop, roteadores TP‑Link e ZTE.
  • O segundo, observado em maio, entregava uma variante chamada Resbot (ou Resentual), com domínios em italiano, indicando um foco geográfico específico e evidências de tentativas por FTP, telnet e uso de vulnerabilidades conhecidas de equipamentos IoT antigos.

O que fazer agora / Como se proteger

Dica de prevenção

  1. Atualize imediatamente qualquer instância do Wazuh afetada para a versão 4.9.1 ou posterior.
  2. Restrinja o acesso à API do Wazuh apenas a endereços confiáveis (firewall ou VPN).
  3. Monitore logs e ative alertas para atividades suspeitas, como downloads de binários externamente.
  4. Implemente controles de segurança em camadas: varredura regular de vulnerabilidades, segregação de rede, e reforço de autenticação com MFA.

Prevenção / Boas práticas

Manter atualizações em dia e reduzir a exposição da API são medidas essenciais para evitar que botnets como Mirai se aloquem em seus sistemas, causando desde DDoS até uso malicioso de recursos.

Perguntas frequentes

Qual é a gravidade da falha no Wazuh?

A falha permite execução remota de código, tornando os sistemas vulneráveis a ataques DDoS e comprometimentos por botnets, especialmente se não atualizado.

Como posso proteger meu servidor Wazuh?

Atualize para a versão 4.9.1 ou posterior, restrinja o acesso à API e monitore atividades suspeitas.

Quais são os sinais de que meu servidor pode estar comprometido?

Atividades suspeitas em logs, downloads não autorizados de binários e acessos não reconhecidos à API são sinais de alerta.

Proteja sua infraestrutura com a LC Sec

Na LC Sec, ajudamos a identificar e remediar brechas em ambientes híbridos e nuvem. Se você tem Wazuh instalado ou quer garantir a segurança da sua infraestrutura, conte com nossa equipe para diagnóstico, auditoria e fortalecimento de segurança.

Falar com especialista
Visualizar publicação completa