17. Juni 2025
Forscher des Sicherheitsunternehmens Akamai haben Ende März 2025 eine besorgniserregende Entwicklung beobachtet: Die Sicherheitslücke CVE-2025-24016 in der Open-Source-Sicherheitsplattform Wazuh wird aktiv ausgenutzt – und das von gleich zwei Botnetzen. Nur wenige Wochen nach der öffentlichen Bekanntmachung der Schwachstelle registrierte Akamai erste Angriffe. Die Lücke ermöglicht es Angreifern, aus der Ferne Schadcode auszuführen – ein Einfallstor, das besonders attraktiv für Betreiber von Mirai-basierten Botnetzen ist.
Obwohl die Schwachstelle bereits seit Monaten bekannt ist, wurde sie noch nicht in den KEV-Katalog (Known Exploited Vulnerability) der CISA aufgenommen. Auch eine aktive Ausnutzung wurde bisher nicht gemeldet.
Die Schwachstelle nutzt dezentralisierte API-Anfragen (DAPI) aus. Sie ermöglicht Angreifern, über den Upload eines unsanierten Wörterbuchs Code aus der Ferne auszuführen. Akamai hat zwei Kampagnen von Mirai-Varianten beobachtet, die diese Schwachstelle ausnutzen. Die Variante „Resbot“, hat beispielsweise eine italienische Nomenklatur in ihren Domains, die möglicherweise auf die Zielregion oder die Sprache des betroffenen Gerätebesitzers anspielt.
Forscher haben erstmals im März 2025 Aktivitäten in Akamais globalem Netzwerk von Honeypots festgestellt. Dies ist die erste gemeldete aktive Ausnutzung dieser Schwachstelle seit der ersten Offenlegung im Februar 2025. Die Botnets haben mehrere bekannte Schwachstellen ausgenutzt, darunter CVE-2023-1389, CVE-2017-17215, CVE-2017-18368 und andere.
Mirai bleibt eine Gefahr
Die Ausbreitung von Mirai geht relativ unvermindert weiter: Nach wie vor ist es recht einfach, alten Quellcode für die Einrichtung oder den Aufbau neuer Botnets wiederzuverwenden. Die Betreiber von Botnetzen sind erfolgreich, indem sie einfach neu veröffentlichte Schwachstellen ausnutzen.
Obwohl das CVE-Programm insgesamt ein Gewinn für die Branche ist, kann es ein zweischneidiges Schwert sein: Es deckt Schwachstellen auf, die von böswilligen Akteuren sonst übersehen worden wären.
Im Gegensatz zu einigen anderen Schwachstellen, über die Akamai in letzter Zeit berichtet hat und die oft nur stillgelegte Geräte betreffen, betrifft CVE-2025-24016 aktive Wazuh-Server, auf denen veraltete Versionen laufen. Es wird dringend empfohlen, auf die neueste Version zu patchen, die einen Fix enthält – in diesem Fall die Wazuh-Version 4.9.1 oder höher.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Gefährliche Chrome-Erweiterung entwendet Zugangsdaten von Meta Business-Konten
Agentenbasierte KI im Unternehmen: Wie Rollback-Mechanismen Automatisierung absichern
Google dokumentiert zunehmenden Missbrauch von KI-Systemen durch Cyberkriminelle
Sicherheitslücke in Claude Desktop Extensions gefährdet Tausende Nutzer
KI-Agenten: Dateisystem vs. Datenbank – Welche Speicherlösung passt zu Ihrem Projekt?
Studien
Deutsche Wirtschaft unzureichend auf hybride Bedrohungen vorbereitet
Cyberkriminalität im Dark Web: Wie KI-Systeme Betrüger ausbremsen
Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken
Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
Whitepaper
MITRE ATLAS analysiert OpenClaw: Neue Exploit-Pfade in KI-Agentensystemen
BSI setzt Auslaufdatum für klassische Verschlüsselungsverfahren
Token Exchange: Sichere Authentifizierung über Identity-Provider-Grenzen
KI-Agenten in Unternehmen: Governance-Lücken als Sicherheitsrisiko
KuppingerCole legt Forschungsagenda für IAM und Cybersecurity 2026 vor
Hamsterrad-Rebell
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
