El equipo Akamai ha identificado la explotación activa de la vulnerabilidad CVE-2025-24016, una falla crítica de ejecución remota de código (RCE) en servidores Wazuh (versiones 4.4.0 a 4.9.0), utilizada por dos botnets distintas basadas en Mirai.
La vulnerabilidad reside en la API distribuida de Wazuh, donde el uso de la función as_Wazuh_object() procesa datos JSON sin validarlos correctamente., lo que posibilita a los atacantes ejecutar código Python arbitrario de forma remota.
Detalles de las vulnerabilidades
- CVE-2025-24016 – Crítica (CVSS 9.9): Vulnerabilidad crítica que permite la ejecución remota de código debido a un manejo inseguro de datos en el Wazuh Distributed API. Específicamente, el sistema procesa información en formato JSON sin validación adecuada, lo que permite a un atacante inyectar datos maliciosos y ejecutar código Python en el servidor. Esta falla afecta a las versiones desde la 4.4.0 hasta la 4.9.0 y ha sido aprovechada por variantes de botnet como LZRD («morte») y Resbot («resgod») para comprometer servidores expuestos.
Detalles de las vulnerabilidades
- Wazuh Server: versiones desde la 4.4.0 hasta la 4.9.0 inclusive.
Solución
Wazuh ha corregido esta vulnerabilidad crítica en la versión 4.9.1, publicada en febrero de 2025, mediante la actualización del método de deserialización insegura en su API distribuida. Esta actualización previene la ejecución remota de código a través de entradas JSON maliciosas.
Se recomienda a todos los administradores de sistemas:
- Actualizar inmediatamente a la versión 4.9.1 o superior, ya sea desde el repositorio oficial de Wazuh o utilizando los procedimientos estándar de mantenimiento.
- Verificar que no existan instancias obsoletas expuestas públicamente, especialmente aquellas accesibles desde internet sin restricciones.
Recomendaciones
- Instalar la versión 4.9.1 (o posterior) para cerrar la brecha de seguridad y evitar la explotación del CVE-2025-24016.
- Implementar alertas y sistemas de detección de intrusos (IDS/IPS) que permitan identificar actividad anómala en la API distribuida o conexiones sospechosas asociadas a botnets conocidas (como LZRD y Resbot).
- Revisar la configuración de exposición de servicios Wazuh, deshabilitar endpoints innecesarios y reforzar políticas de autenticación y control de acceso.
Referencias: