[데일리시큐]미라이 봇넷, 와주 서버 취약점 악용해 글로벌 DDoS 공격 전개..한국 피해 주의

내용 요약

Wazuh 서버의 치명적인 취약점(CVE-2025-24016)을 악용하는 Mirai 기반 봇넷 DDoS 공격이 확산 중입니다. Akamai에서 3월 말 처음 탐지되었고 5월까지 악용 시도가 지속되었습니다. 취약점은 Wazuh API의 Distributed API에서 발생하는 JSON 역직렬화 오류로, 악성 JSON 페이로드를 통해 원격 코드 실행이 가능합니다.

핵심 포인트

• Wazuh 서버의 CVE-2025-24016 취약점 악용
• Mirai 봇넷 기반 DDoS 공격 확산
• Akamai에서 3월 말 최초 탐지, 5월까지 악용 시도 지속
• Wazuh API Distributed API의 JSON 역직렬화 오류가 원인
• 악성 JSON 페이로드를 통한 원격 코드 실행 가능

기술 세부 내용

1️⃣ CVE-2025-24016 (Wazuh API 취약점)

• Wazuh의 Distributed API 기능에서 발생하는 JSON 역직렬화(deserialization) 취약점입니다.
• 공격자는 특수하게 조작된 JSON 페이로드를 Wazuh 서버로 전송하여 원격에서 임의의 Python 코드를 실행할 수 있습니다.
• 이는 서버 제어권 탈취, 데이터 유출, 악성코드 배포 등 심각한 보안 위협으로 이어질 수 있습니다.
• 취약점의 CVSS 점수는 9.8점으로 매우 높은 위험도를 나타냅니다.

2️⃣ Mirai 봇넷

• Mirai는 IoT 기기를 감염시켜 대규모 DDoS 공격을 수행하는 악명 높은 봇넷입니다.
• 취약한 IoT 기기의 기본 자격 증명(default credentials)을 악용하여 네트워크에 침투합니다.
• 감염된 기기들은 봇넷의 일부가 되어 공격자의 명령에 따라 특정 서버로 대량의 트래픽을 전송하여 서비스를 마비시킵니다.
• 이번 공격에서 Mirai 봇넷은 Wazuh 서버의 취약점을 악용하여 DDoS 공격을 수행하는 데 사용되었습니다.

3️⃣ DDoS (Distributed Denial of Service) 공격

• 분산 서비스 거부 공격은 여러 대의 컴퓨터(봇넷)를 이용하여 특정 서버에 과도한 트래픽을 전송하여 서비스를 마비시키는 공격입니다.
• 웹사이트, 게임 서버, 금융 기관 등 다양한 온라인 서비스를 대상으로 발생할 수 있습니다.
• DDoS 공격으로 인해 서비스 중단, 데이터 손실, 금전적 손해 등이 발생할 수 있습니다.
• 이번 공격은 Wazuh 서버의 취약점을 악용한 Mirai 봇넷에 의해 발생한 DDoS 공격입니다.

4️⃣ JSON 역직렬화(Deserialization)

• JSON(JavaScript Object Notation)은 데이터를 교환하기 위해 사용되는 가벼운 데이터 형식입니다.
• 역직렬화(Deserialization)는 JSON 형식의 데이터를 프로그램에서 사용할 수 있는 객체로 변환하는 과정입니다.
• 안전하지 않은 역직렬화는 공격자가 악의적인 코드를 삽입하여 원격 코드 실행과 같은 보안 취약점을 발생시킬 수 있습니다.

5️⃣ Wazuh

• Wazuh는 오픈소스 보안 플랫폼으로, 위협 탐지, 로그 분석, 보안 모니터링, 규정 준수 및 사고 대응 기능을 제공합니다.
• 다양한 운영 체제 및 플랫폼에서 사용 가능하며, 중앙 집중식 보안 관리를 지원합니다. ️
• 이번 공격은 Wazuh 서버 자체의 취약점을 악용한 것으로, Wazuh 사용자는 최신 패치를 적용하여 시스템을 보호해야 합니다. ⏫

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166820