Lỗ Hổng CVE-2025-24016 Trong Wazuh Server: Nguy Cơ Tấn Công DDoS Nghiêm Trọng

11/06/2025
2 mins read
Nội dung
Lỗ hổng nghiêm trọng CVE-2025-24016 trong Wazuh Server bị khai thác để thực hiện tấn công DDoS
Chi tiết về lỗ hổng
Cách thức khai thác
Ảnh hưởng
Biện pháp khắc phục
Kết luận

Lỗ hổng nghiêm trọng CVE-2025-24016 trong Wazuh Server bị khai thác để thực hiện tấn công DDoS

Một lỗ hổng bảo mật nghiêm trọng trong Wazuh Server, được định danh là CVE-2025-24016, đã bị các tác nhân đe dọa khai thác để triển khai các cuộc tấn công từ chối dịch vụ phân tán (DDoS) thông qua botnet Mirai. Dưới đây là thông tin chi tiết về lỗ hổng này, cách thức khai thác, ảnh hưởng và biện pháp khắc phục dành cho các chuyên viên bảo mật và quản trị hệ thống.

Chi tiết về lỗ hổng

  • Mã định danh: CVE-2025-24016
  • Loại lỗ hổng: Unsafe deserialization dẫn đến thực thi mã từ xa (Remote Code Execution – RCE)
  • Điểm CVSS: 9.9 (Critical)
  • Phiên bản bị ảnh hưởng: Tất cả các phiên bản Wazuh Server từ 4.4.0 đến 4.9.0 (trước bản vá tháng 2/2025)

Lỗ hổng này nằm trong Wazuh API, cụ thể là thành phần DistributedAPI. Các tham số được tuần tự hóa (serialized) dưới dạng JSON và giải tuần tự (deserialized) bằng phương thức as_wazuh_object trong tệp framework/wazuh/core/cluster/common.py. Điều này tạo cơ hội cho kẻ tấn công chèn các payload JSON độc hại để thực thi mã Python tùy ý từ xa.

Cách thức khai thác

Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi các payload JSON được thiết kế đặc biệt đến Wazuh Server thông qua API. Một bản khai thác thử nghiệm (Proof-of-Concept – PoC) đã được công khai vào cùng thời điểm bản vá được phát hành, minh họa cách đạt được RCE thông qua endpoint run_as.

Các chiến dịch khai thác thực tế đã được ghi nhận vào đầu tháng 3 và tháng 5 năm 2025, với hai biến thể botnet Mirai được sử dụng để thực hiện các cuộc tấn công DDoS.

Ảnh hưởng

Lỗ hổng có thể bị khai thác bởi bất kỳ đối tượng nào có quyền truy cập vào API của Wazuh Server, bao gồm các dashboard hoặc agent bị xâm nhập trong cụm (cluster). Điều này làm tăng nguy cơ tấn công, đặc biệt trong các môi trường không được cập nhật bản vá kịp thời.

Biện pháp khắc phục

Nhà phát triển đã khắc phục lỗ hổng trong phiên bản Wazuh 4.9.1, được phát hành vào tháng 2 năm 2025. Người dùng được khuyến nghị thực hiện các bước sau để bảo vệ hệ thống:

  • Cập nhật ngay Wazuh Server lên phiên bản 4.9.1 hoặc mới hơn.
  • Kiểm tra các bản ghi (logs) và lưu lượng truy cập API để phát hiện dấu hiệu khai thác.
  • Hạn chế quyền truy cập API chỉ cho các nguồn đáng tin cậy nếu chưa thể cập nhật.

Kết luận

Lỗ hổng CVE-2025-24016 trong Wazuh Server là một rủi ro bảo mật nghiêm trọng với khả năng dẫn đến RCE và các cuộc tấn công DDoS thông qua botnet Mirai. Việc cập nhật lên phiên bản mới nhất là biện pháp quan trọng để giảm thiểu nguy cơ. Các quản trị viên hệ thống và chuyên viên bảo mật cần ưu tiên kiểm tra và vá hệ thống của mình để tránh trở thành mục tiêu của các chiến dịch khai thác đang diễn ra.