開源資安平臺Wazuh重大漏洞遭鎖定，兩個Mirai殭屍網路變種用於攻擊行動

一般而言，殭屍網路攻擊主要鎖定的標的，大多是缺乏資安防護與相關管理的物聯網設備，例如：SOHO或家用路由器、NAS、網路攝影機，利用資安漏洞滲透設備。然而近期有一起攻擊行動相當不尋常，駭客鎖定的標的竟是一套資安系統。

資安業者Akamai揭露專門針對開源資安監控平臺Wazuh的攻擊行動，有兩個殭屍網路Mirai變種自3月下旬鎖定已知的重大層級漏洞CVE-2025-24016而來，入侵並控制Wazuh伺服器。而對於這些殭屍網路的來歷，一個是專門針對物聯網裝置的LZRD（也稱做Morte），另一個是使用義大利語的人士經營的Resbot（Resentual）。

Wazuh是開源的安全資訊與事件管理（SIEM）、XDR平臺，專門用來協助企業組織入侵偵測、事件記錄分析、漏洞管理、合規監控，由於其開源的特性，擁有廣泛的使用者社群，並在中小企業、教育機構、政府機關受到歡迎，也是資安研究人員常會用於打造客製化SIEM的平臺，今年臺灣資安大會恰巧有IT專家以Wazuh為題發表演講，向資安社群介紹這套開放原始碼資安平臺。此資安平臺號稱已保護超過10萬個企業組織、1,500萬臺端點，每年被下載逾3千萬次，其開源專案並在GitHub獲得超過1.2萬顆星，足見其受到歡迎的程度。

而這次駭客利用的資安漏洞CVE-2025-24016，Wazuh於今年2月公告及修補，此漏洞存在於DistributedAPI元件，屬於不安全的反序列化處理弱點，一旦攻擊者透過API存取Wazuh伺服器，就有機會注入惡意JSON酬載，並遠端執行任何Python程式碼，影響4.4.0至4.9.0版Wazuh，CVSS風險達到9.9（滿分10分），Wazuh發布4.9.1版修補漏洞。

有別於其他針對物聯網裝置的殭屍網路攻擊，由於Wazuh伺服器本身能匯集可找出資安事件的各式記錄，一旦駭客成功控制這類伺服器，不光能運用伺服器的能力從事DDoS攻擊、挖礦、散布惡意軟體，我們推測，或許也將進一步挖掘或竄改存放於該平臺的資料，掌握企業的網路環境，並發展其他型態的攻擊行動。

這些殭屍網路不約而同盯上Wazuh重大漏洞並用於攻擊，突顯可能已有不少這類系統直接曝露在網際網路，以及未及時套用新版軟體的現象，使得攻擊者有機可乘，得以利用漏洞來入侵這類資安平臺。