đŸ€– Botnets Mirai vs Wazuh : la guerre du patch oubliĂ©

Bienvenue dans l’épisode “Mirai cherche la faille” : des botnets trouvent une grave vulnĂ©rabilitĂ© dans Wazuh, une plateforme SIEM open-source, et dĂ©cident de recruter Ă  tout va des DVR pour gonfler leurs troupes. ⚔ Let’s dive in.

1. 🎯 Cible n°1 : Wazuh, la plateforme mal gardĂ©e

  • CVE‑2025‑24016 : une faille d’unsafe deserialization (9.9/10 CVSS) affectant les serveurs Wazuh entre les versions 4.4.0 et 4.9.0
  • PubliĂ©e en fĂ©vrier 2025, et patchĂ©e dans la v4.9.1, elle permet aux assaillants, via une API faiblement protĂ©gĂ©e, d’exĂ©cuter du code Python arbitraire

En clair : des instances Wazuh accessibles sur Internet ? Jackpot pour les attaquants.

2. đŸ’„ Deux botnets dĂ©barquent

💣 Botnet 1 : « LZRD Mirai »

  • Premiers signes d’exploitation dĂšs mars 2025 via PoC.
  • Un shell script est injectĂ© via Wazuh pour tĂ©lĂ©charger le payload Mirai (version LZRD) depuis un serveur distant. Il cible plusieurs architectures (IoT et serveurs Linux).
  • Ce variant reprend d’anciennes techniques connues : TP-Link, ZTE, Hadoop YARN comme vecteurs secondaires

💣 Botnet 2 : « Resbot » (alias Resentual)

  • Exploitation observĂ©e en mai 2025.
  • Utilise lui aussi la faille CVE-2025-24016 pour injecter un script malicieux, aboutissant Ă  une variante Mirai nommĂ©e « Resbot ».
  • ParticularitĂ© : les domaines de son C2 (« resbot.online », « gestisciweb.com ») comportent des mots italiens, suggĂ©rant une cible italophone.
  • Cible des routeurs Huawei, ZyXEL, Realtek, etc. via FTP/Telnet.

3. đŸ“ș DVR en ligne de mire

  • ParallĂšlement Ă  Wazuh, Kaspersky observe une vague d’infections via CVE‑2024‑3721, une faille dans les DVR TBK‑4104/4216 
  • Les scripts injectĂ©s tĂ©lĂ©chargent un binaire ARM32, Ă©tablissant ensuite une connexion Ă  un C2 (ex : IP 42.112.26[.]36), pour intĂ©grer Mirai dans le rĂ©seau.
  • Selon Kaspersky, environ 50 000 DVR exposĂ©s sont compromis, majoritairement en Chine, Inde, Égypte, Ukraine, Russie, Turquie et BrĂ©sil.

4. 🌍 GĂ©ographie de la contamination

  • Wazuh : serveurs open-source dans des FAI/DB entiĂšres, gĂ©ographiquement diverse.
  • DVR : contaminations massives dans plusieurs pays Ă©mergents – la liste dĂ©taillĂ©e par Kaspersky est la mĂȘme que ci-dessus. Les stats sont probablement sous-estimĂ©es (tĂ©lĂ©metry biaisĂ©e).

5. 📡 MĂ©canique de l’infection

  1. Scanne les serveurs Wazuh, identifie la version vulnérable.
  2. Envoie du code JSON mal formĂ© pour dĂ©clencher l’exĂ©cution de code via l’API DistributedAPI.
  3. Télécharge un script shell (w.sh ou autre) depuis un C2 (176.65.134[.]62, 104.168.101[.]27).
  4. Installe le binaire Mirai, adaptĂ© Ă  l’architecture.
  5. Le pĂ©riph’ devient un nƓud zombi contrĂŽlĂ© Ă  distance.
  6. Pour Resbot : ajout d’un focus Italie, scan FTP/Telnet de routeurs vulnĂ©rables.

6. 🧠 Leçon #1 : patch immĂ©diat

  • Wazuh 4.9.1 est sorti en octobre/fĂ©vrier 2025. Si tu n’as pas mis Ă  jour
 Salut, zombieland. securityweek.com
  • Les DVR TBK semblent toujours vulnĂ©rables : le patch n’est mĂȘme pas certain d’exister
 ou invisible. bleepingcomputer.com

7. đŸ›Ąïž Leçon #2 : segmentation rĂ©seau

  • JAMAIS exposer votre Wazuh en frontal Internet.
  • Pare-feu : limiter l’API Ă  des rĂ©seaux de gestion internes.
  • DVR : placez-les derriĂšre VPN ou DMZ, pas en pleine lumiĂšre.

8. đŸ§© Leçon #3 : monitoring & IDS obligatoire

  • Un bon honeypot ou logs rĂ©seau auraient identifiĂ©s l’appel JSON suspect.
  • Sur Wazuh, surveiller toute activitĂ© avec des appels API suspects comme run_as.
  • DVR : tracker les connexions inhabituelles sortantes vers des IP louches.

9. đŸ€” Leçon #4 : Mirai, toujours vivant

  • L’ombre de Mirai plane depuis 2016.
  • Code source libre = spawn/RaaS facile.
  • Les botnets se renouvellent, combinent vieilles failles (2014–2023) et une nouvelle cible Wazuh .

10. 📌 Recommandations concrùtes

ActionsDĂ©tails
Mettre Ă  jour WazuhPasser Ă  ≄ 4.9.1
Patch DVRVĂ©rifier auprĂšs du fabricant, ou remplacer
Segmenter rĂ©seauFirewall, VPN, pas d’expo directe
DĂ©ployer IDS/IPSSurveiller anomalies JSON ou traffic sortant
Appliquer principle of least privilegeRestreindre l’accùs à l’API Wazuh

11. Conclusion

VoilĂ  la leçon du jour : ne jamais baisser la garde, ne jamais exposer directement un service sensible, et surtout, patcher aussitĂŽt qu’un update sort. Le botnet Mirai continue de prospĂ©rer sur les systĂšmes oubliĂ©s, combinant des exploits rĂ©cents (Wazuh) et anciens (DVR).

Si tu rĂȘves d’un futur climatique, Ă©conomise ton esprit pour Wazuh
 et pas pour assurer le bon fonctionnement d’un DVR pirate.

đŸ€– Botnets Mirai vs Wazuh : la guerre du patch oubliĂ©
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut