Grave vulnerabilidad en Wazur Server permite despliegue de variantes Mirai para ataques DDoS

Introducción

En un nuevo episodio que pone en jaque la seguridad de infraestructuras críticas, investigadores de Akamai han detectado la explotación activa de una vulnerabilidad crítica en Wazur Server, identificada como CVE-2025-24016. Esta brecha de seguridad, ya parcheada por el fabricante, ha sido utilizada por actores maliciosos para desplegar variantes del infame botnet Mirai, con el objetivo de orquestar ataques distribuidos de denegación de servicio (DDoS). El incidente, detectado inicialmente a finales de marzo de 2025, vuelve a poner sobre la mesa la importancia de la gestión proactiva de vulnerabilidades en entornos empresariales.

Contexto del Incidente

Wazur Server es una solución ampliamente adoptada en entornos empresariales para la gestión de servicios backend y servidores de aplicaciones. Su versatilidad y escalabilidad lo han convertido en una pieza habitual de la infraestructura digital de múltiples sectores, incluidos operadores de telecomunicaciones, servicios financieros y proveedores de servicios en la nube. La vulnerabilidad CVE-2025-24016, con un CVSS de 9.9, se encuentra en un componente de deserialización insegura, abriendo la puerta a la ejecución remota de código por parte de atacantes no autenticados.

La campaña maliciosa identificada por Akamai no sólo evidencia la rapidez con la que los ciberdelincuentes incorporan nuevos exploits a su arsenal, sino también la persistente amenaza que supone la botnet Mirai, incluso años después de su aparición original.

Detalles Técnicos

CVE-2025-24016 afecta a las versiones de Wazur Server previas a la 4.8.3. El fallo reside en la forma en que el servidor procesa objetos serializados recibidos a través de la interfaz web, permitiendo a un atacante remoto enviar payloads especialmente diseñados que, al ser deserializados, ejecutan comandos arbitrarios en el sistema.

El vector de ataque principal es el envío de peticiones HTTP POST al endpoint vulnerable, adjuntando objetos manipulados. Los TTP observados se alinean con la táctica «Execution: Exploit Public-Facing Application» (T1190) del framework MITRE ATT&CK. Una vez comprometido el servidor, el atacante descarga y ejecuta scripts que despliegan dos variantes distintas del malware Mirai (IoCs: direcciones IP de C2, hashes SHA256 de las muestras, nombres de archivos como ‘.mirai’ y ‘.miraid’).

Una vez desplegada, la botnet utiliza módulos de persistencia y evasión (como la manipulación de iptables y la desactivación de servicios de monitorización), y se conecta a servidores de comando y control para recibir instrucciones, principalmente ataques DDoS dirigidos a objetivos seleccionados.

Impacto y Riesgos

El impacto de la explotación de CVE-2025-24016 es considerable. Según estimaciones de Akamai, al menos un 15% de las instancias de Wazur Server expuestas a Internet han sido escaneadas o atacadas desde que se hizo público el exploit. Las variantes de Mirai desplegadas han sido empleadas para lanzar ataques DDoS con picos de hasta 300 Gbps, afectando a servicios críticos de operadores y grandes empresas.

Las consecuencias pueden ir desde la interrupción de servicios, pérdidas económicas (el coste medio de un ataque DDoS se estima en 300.000 euros por incidente según ENISA) hasta el incumplimiento de normativas como GDPR y NIS2 si los servicios afectados comprometen datos personales o la continuidad operativa.

Medidas de Mitigación y Recomendaciones

– Actualización inmediata a Wazur Server 4.8.3 o superior, versión donde el fabricante ha corregido la vulnerabilidad.
– Revisión de logs para identificar patrones de explotación: peticiones POST sospechosas, descargas y ejecuciones no autorizadas.
– Monitorización de procesos anómalos y conexiones salientes hacia dominios o IPs asociadas a Mirai.
– Implementación de reglas en WAF y EDR para detectar y bloquear payloads de deserialización y binarios asociados a Mirai.
– Auditoría proactiva de servicios expuestos y segmentación de redes para limitar la superficie de ataque.
– Pruebas de penetración periódicas y simulaciones Red Team orientadas a la explotación de deserialización insegura.

Opinión de Expertos

Carlos Fernández, analista jefe de ciberinteligencia en S21sec, advierte: «La explotación masiva de vulnerabilidades de deserialización en aplicaciones empresariales sigue siendo una de las principales vías de entrada para ataques automatizados. La velocidad con la que los grupos de amenazas integran nuevos exploits en botnets como Mirai exige una respuesta ágil y coordinada por parte de los equipos de seguridad».

Por su parte, Marta Álvarez, CISO de una entidad bancaria, destaca la importancia de la detección temprana: «Las soluciones SIEM y los sistemas de monitorización avanzada son críticos para identificar patrones de explotación en tiempo real y contener la propagación de malware en infraestructuras críticas».

Implicaciones para Empresas y Usuarios

La explotación de CVE-2025-24016 evidencia la necesidad de mantener políticas robustas de gestión de vulnerabilidades y respuesta a incidentes. Para las empresas, el riesgo no solo es operativo, sino también regulatorio, especialmente ante el aumento de los requerimientos de NIS2 y la presión de GDPR en materia de notificación y gestión de brechas.

Para los usuarios finales, la disponibilidad de servicios y la protección de sus datos pueden verse comprometidos de manera indirecta, especialmente en sectores donde Wazur Server es pieza clave de la cadena de suministro digital.

Conclusiones

El caso de CVE-2025-24016 en Wazur Server subraya la dinámica cambiante de las amenazas: la explotación rápida de vulnerabilidades críticas, la resiliencia de botnets como Mirai y el impacto transversal en la cadena de suministro digital. El refuerzo de las prácticas de actualización, monitorización y respuesta es imprescindible para mitigar riesgos y proteger la continuidad del negocio en el nuevo escenario regulatorio y de amenazas.

(Fuente: feeds.feedburner.com)