一般而言,Wazuh是开源的安全资讯与事件管理(SIEM)、XDR平台,专门用来协助企业组织入侵侦测、事件记录分析、漏洞管理、合规监控,由于其开源的特性,拥有广泛的使用者社群,并在中小企业、教育机构、政府机关受到欢迎,也是资安研究人员常会用于打造客制化SIEM的平台,今年台湾资安大会有讲者恰巧以Wazuh为题发表演讲,有别于其他针对物联网装置的僵尸网路攻击,由于Wazuh伺服器本身能汇集可找出资安事件的各式记录,一旦骇客成功控制这类伺服器,不光能运用伺服器的能力从事DDoS攻击、挖矿、散布恶意软体,我们推测,或许也将进一步挖掘或窜改存放于该平台的资料,掌握企业的网路环境,并发展其他型态的攻击行动。
这些僵尸网路不约而同盯上Wazuh重大漏洞并用于攻击,突显可能已有不少这类系统直接曝露在网际网路,以及未及时套用新版软体的现象,使得攻击者有机可乘,得以利用漏洞来入侵这类资安平台。