
一般而言,殭屍網路攻擊主要鎖定的標的,大多是缺乏資安防護與相關管理的物聯網設備,例如:SOHO或家用路由器、NAS、網路攝影機,利用資安漏洞滲透設備。然而近期有一起攻擊行動相當不尋常,駭客鎖定的標的竟是一套資安系統。
資安業者Akamai揭露專門針對開源資安監控平臺Wazuh的攻擊行動,有兩個殭屍網路Mirai變種自3月下旬鎖定已知的重大層級漏洞CVE-2025-24016而來,入侵並控制Wazuh伺服器。而對於這些殭屍網路的來歷,一個是專門針對物聯網裝置的LZRD(也稱做Morte),另一個是使用義大利語的人士經營的Resbot(Resentual)。
Wazuh是開源的安全資訊與事件管理(SIEM)、XDR平臺,專門用來協助企業組織入侵偵測、事件記錄分析、漏洞管理、合規監控,由於其開源的特性,擁有廣泛的使用者社群,並在中小企業、教育機構、政府機關受到歡迎,也是資安研究人員常會用於打造客製化SIEM的平臺,今年臺灣資安大會恰巧有IT專家以Wazuh為題發表演講,向資安社群介紹這套開放原始碼資安平臺。此資安平臺號稱已保護超過10萬個企業組織、1,500萬臺端點,每年被下載逾3千萬次,其開源專案並在GitHub獲得超過1.2萬顆星,足見其受到歡迎的程度。
而這次駭客利用的資安漏洞CVE-2025-24016,Wazuh於今年2月公告及修補,此漏洞存在於DistributedAPI元件,屬於不安全的反序列化處理弱點,一旦攻擊者透過API存取Wazuh伺服器,就有機會注入惡意JSON酬載,並遠端執行任何Python程式碼,影響4.4.0至4.9.0版Wazuh,CVSS風險達到9.9(滿分10分),Wazuh發布4.9.1版修補漏洞。
有別於其他針對物聯網裝置的殭屍網路攻擊,由於Wazuh伺服器本身能匯集可找出資安事件的各式記錄,一旦駭客成功控制這類伺服器,不光能運用伺服器的能力從事DDoS攻擊、挖礦、散布惡意軟體,我們推測,或許也將進一步挖掘或竄改存放於該平臺的資料,掌握企業的網路環境,並發展其他型態的攻擊行動。
這些殭屍網路不約而同盯上Wazuh重大漏洞並用於攻擊,突顯可能已有不少這類系統直接曝露在網際網路,以及未及時套用新版軟體的現象,使得攻擊者有機可乘,得以利用漏洞來入侵這類資安平臺。
熱門新聞
2025-07-16
2024-08-05
2025-07-16
2025-07-14
2025-07-16
2025-07-14
2025-07-14