🤖 Botnets Mirai vs Wazuh : la guerre du patch oublié

Bienvenue dans l’épisode “Mirai cherche la faille” : des botnets trouvent une grave vulnérabilité dans Wazuh, une plateforme SIEM open-source, et décident de recruter à tout va des DVR pour gonfler leurs troupes. ⚔️ Let’s dive in.

1. 🎯 Cible n°1 : Wazuh, la plateforme mal gardée

  • CVE‑2025‑24016 : une faille d’unsafe deserialization (9.9/10 CVSS) affectant les serveurs Wazuh entre les versions 4.4.0 et 4.9.0
  • Publiée en février 2025, et patchée dans la v4.9.1, elle permet aux assaillants, via une API faiblement protégée, d’exécuter du code Python arbitraire

En clair : des instances Wazuh accessibles sur Internet ? Jackpot pour les attaquants.

2. 💥 Deux botnets débarquent

💣 Botnet 1 : « LZRD Mirai »

  • Premiers signes d’exploitation dès mars 2025 via PoC.
  • Un shell script est injecté via Wazuh pour télécharger le payload Mirai (version LZRD) depuis un serveur distant. Il cible plusieurs architectures (IoT et serveurs Linux).
  • Ce variant reprend d’anciennes techniques connues : TP-Link, ZTE, Hadoop YARN comme vecteurs secondaires

💣 Botnet 2 : « Resbot » (alias Resentual)

  • Exploitation observée en mai 2025.
  • Utilise lui aussi la faille CVE-2025-24016 pour injecter un script malicieux, aboutissant à une variante Mirai nommée « Resbot ».
  • Particularité : les domaines de son C2 (« resbot.online », « gestisciweb.com ») comportent des mots italiens, suggérant une cible italophone.
  • Cible des routeurs Huawei, ZyXEL, Realtek, etc. via FTP/Telnet.

3. 📺 DVR en ligne de mire

  • Parallèlement à Wazuh, Kaspersky observe une vague d’infections via CVE‑2024‑3721, une faille dans les DVR TBK‑4104/4216 
  • Les scripts injectés téléchargent un binaire ARM32, établissant ensuite une connexion à un C2 (ex : IP 42.112.26[.]36), pour intégrer Mirai dans le réseau.
  • Selon Kaspersky, environ 50 000 DVR exposés sont compromis, majoritairement en Chine, Inde, Égypte, Ukraine, Russie, Turquie et Brésil.

4. 🌍 Géographie de la contamination

  • Wazuh : serveurs open-source dans des FAI/DB entières, géographiquement diverse.
  • DVR : contaminations massives dans plusieurs pays émergents – la liste détaillée par Kaspersky est la même que ci-dessus. Les stats sont probablement sous-estimées (télémetry biaisée).

5. 📡 Mécanique de l’infection

  1. Scanne les serveurs Wazuh, identifie la version vulnérable.
  2. Envoie du code JSON mal formé pour déclencher l’exécution de code via l’API DistributedAPI.
  3. Télécharge un script shell (w.sh ou autre) depuis un C2 (176.65.134[.]62, 104.168.101[.]27).
  4. Installe le binaire Mirai, adapté à l’architecture.
  5. Le périph’ devient un nœud zombi contrôlé à distance.
  6. Pour Resbot : ajout d’un focus Italie, scan FTP/Telnet de routeurs vulnérables.

6. 🧠 Leçon #1 : patch immédiat

  • Wazuh 4.9.1 est sorti en octobre/février 2025. Si tu n’as pas mis à jour… Salut, zombieland. securityweek.com
  • Les DVR TBK semblent toujours vulnérables : le patch n’est même pas certain d’exister… ou invisible. bleepingcomputer.com

7. 🛡️ Leçon #2 : segmentation réseau

  • JAMAIS exposer votre Wazuh en frontal Internet.
  • Pare-feu : limiter l’API à des réseaux de gestion internes.
  • DVR : placez-les derrière VPN ou DMZ, pas en pleine lumière.

8. 🧩 Leçon #3 : monitoring & IDS obligatoire

  • Un bon honeypot ou logs réseau auraient identifiés l’appel JSON suspect.
  • Sur Wazuh, surveiller toute activité avec des appels API suspects comme run_as.
  • DVR : tracker les connexions inhabituelles sortantes vers des IP louches.

9. 🤔 Leçon #4 : Mirai, toujours vivant

  • L’ombre de Mirai plane depuis 2016.
  • Code source libre = spawn/RaaS facile.
  • Les botnets se renouvellent, combinent vieilles failles (2014–2023) et une nouvelle cible Wazuh .

10. 📌 Recommandations concrètes

ActionsDétails
Mettre à jour WazuhPasser à ≥ 4.9.1
Patch DVRVérifier auprès du fabricant, ou remplacer
Segmenter réseauFirewall, VPN, pas d’expo directe
Déployer IDS/IPSSurveiller anomalies JSON ou traffic sortant
Appliquer principle of least privilegeRestreindre l’accès à l’API Wazuh

11. Conclusion

Voilà la leçon du jour : ne jamais baisser la garde, ne jamais exposer directement un service sensible, et surtout, patcher aussitôt qu’un update sort. Le botnet Mirai continue de prospérer sur les systèmes oubliés, combinant des exploits récents (Wazuh) et anciens (DVR).

Si tu rêves d’un futur climatique, économise ton esprit pour Wazuh… et pas pour assurer le bon fonctionnement d’un DVR pirate.

🤖 Botnets Mirai vs Wazuh : la guerre du patch oublié
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut