Wazuh Sunucusundaki Güvenlik Açığı ve Mirai Botnet Tehditleri
Son dönemde siber güvenlik dünyasında dikkat çeken bir gelişme, Wazuh sunucusundaki kritik güvenlik açığıdır. Akamai, bu açığın istismar edilerek Mirai botnetinin iki farklı varyantının kullanıldığını bildirmiştir. İlk olarak 2025 yılının Mart ayı sonlarında keşfedilen bu açık, CVE-2025-24016 olarak adlandırılmaktadır ve 9.9 CVSS puanına sahiptir. Açığın, uzaktan kod çalıştırma olanağı tanıyan bir güvensiz deserialization açığı olduğu belirtilmiştir.
Açığın Kaynağı ve Etkileri
Söz konusu güvenlik açığı, Wazuh API’inde yer almaktadır. Burada DistributedAPI içinde parametreler JSON olarak serialize edilmekte ve as_wazuh_object fonksiyonu kullanılarak deserialize edilmektedir. Bu durum, kötü niyetli bir aktörün zararlı JSON yükleri yükleyerek uzaktan Python kodu çalıştırmasına olanak sağlamaktadır. Akamai, bu açığın kamuya açıklanmasının ardından, sadece birkaç hafta içinde iki farklı botnetin bu açığı istismar etmeye çalıştığını tespit etmiştir.
Mirai Botnet Varyantlarının Kullanımı
İlk olarak, başarıyla istismar edilen bu açık, shell script aracılığıyla bir Mirai botnet yüklemesi için gerekli olan downloader’ı dış bir sunucudan (“176.65.134[.]62”) edinmektedir. Bu zararlı yazılımların, 2023 yılından beri var olan LZRD Mirai varyantları olduğu değerlendirilmektedir. LZRD, son zamanlarda GeoVision gibi sonlandırılmış IoT cihazlarına yönelik yapılan saldırılarda da kullanılmıştır. Ancak Akamai, iki etkinlik kümesinin aynı tehdit aktörü tarafından gerçekleştirildiğine dair bir kanıt bulunmadığını ifade etmiştir.
Diğer Botnet Çeşitleri ve Saldırı Stratejileri
Elde edilen veriler, "176.65.134[.]62" adresiyle ilişkili birçok Mirai botnet versiyonunu ortaya çıkarmıştır. Bunlar arasında LZRD varyantları, neon, vision isimli varyantlar ve güncellenmiş bir V3G4 versiyonu bulunmaktadır. Bu botnetler, Hadoop YARN, TP-Link Archer AX21 gibi çeşitli güvenlik açıklarını da istismar etmektedir.
İkinci botnet, CVE-2025-24016 açığını başka bir Mirai botnet versiyonu olan Resbot (diğer adıyla Resentual) dağıtmak için benzer bir strateji kullanmaktadır. Bu botnetin dikkat çekici bir özelliği, kullandığı alan adlarının çoğunun İtalyanca kökenli olmasıdır. Bu durum, İtalyanca konuşan kullanıcıları hedef alan özel bir kampanyanın var olabileceğini göstermektedir.
Müşahede Edilen Diğer Güvenlik Açıkları
Sadece CVE-2025-24016 değil, Mirai botnet varyantları, diğer güvenlik açıklarını da istismar etmektedir. Örneğin, CVE-2024-3721 adlı bir komut enjekte etme açığı, TBK DVR-4104 ve DVR-4216 cihazlarında bu botnet tarafından kullanılmıştır. Bu açık, zararlı yazılımı uzaktan bir sunucudan indirip çalıştırmak üzere bir shell scripti tetiklemektedir. Siber güvenlik firması Kaspersky, bu enfeksiyonların çoğunluğunun Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya gibi ülkelerde yoğunlaştığını bildirmiştir.
Saldırıların Genişlemesi ve Gelecek Öngörüleri
Zararlı yazılımların yayılımı, hızla artmaktadır. Araştırmacılar, IoT cihazlarının ve hizmetlerin güncellenmemiş güvenlik açıklarının istismar edilmesinin yanı sıra, Linux tabanlı sistemleri hedef alan kötü niyetli yazılımların da önemli bir sorun oluşturduğunu belirtmektedir. Günümüzde API flood ve carpet bombing gibi yeni nesil saldırı teknikleri, geleneksel TCP/UDP saldırılarına göre daha hızlı bir şekilde yayılmaktadır.
ABD Federal Soruşturma Bürosu (FBI), BADBOX 2.0 botnetinin milyonlarca internetle bağlı cihazı enfekte ettiğini ve bu cihazların çoğunun Çin’de üretildiğini bildirmiştir. Siber suçluların, kullanıcıların satın alma öncesinde kötü niyetli yazılımlarla cihazları yapılandırarak veya kurulum sürecinde backdoor içeren uygulamalar indirerek ev ağlarına yasadışı erişim sağladıkları vurgulanmaktadır.
Özetle, Wazuh sunucusundaki güvenlik açığı ve Mirai botnet tehditleri, siber dünyanın dinamiklerini değiştirmeye devam etmektedir. Tehditlerin sürekli evrim geçirmesi ve yeni açılardan yararlanması, hem bireyler hem de kurumlar için ciddi riskler taşımaktadır.
