CISA dodaje luki XWiki (RCE) i VMware (LPE) do katalogu KEV: co to oznacza dla Twojej infrastruktury

Wprowadzenie do problemu / definicja luki

Amerykańska CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) dwie luki aktywnie wykorzystywane w atakach: krytyczną RCE w XWiki (CVE-2025-24893) oraz wysokiej wagi lokalne podniesienie uprawnień w VMware Aria Operations/VMware Tools (CVE-2025-41244). Dodanie do KEV oznacza, iż istnieją potwierdzone dowody eksploatacji w środowiskach produkcyjnych i organizacje powinny potraktować aktualizacje priorytetowo.

W skrócie

• XWiki – CVE-2025-24893 (CVSS 9.8, RCE): niezalogowany atakujący może wykonać dowolny kod przez podatny mechanizm wyszukiwania SolrSearch.
• VMware – CVE-2025-41244 (LPE): błąd umożliwia lokalne podniesienie uprawnień na VM-ach z VMware Tools/Aria Operations; producent potwierdził i wydał poprawki.
• Status KEV: obie pozycje dodane 30 października 2025 r. – sygnał, iż obserwuje się realne nadużycia.

Kontekst / historia / powiązania

Informacja o dodaniu do KEV pojawiła się po wcześniejszych raportach społeczności bezpieczeństwa: w przypadku XWiki badacze od miesięcy notowali aktywne nadużycia, m.in. łańcuch ataku kończący się uruchomieniem koparki kryptowalut. W VMware Broadcom/VMware udostępnił zestaw łatek i zaktualizował komunikat bezpieczeństwa.

Analiza techniczna / szczegóły luki

CVE-2025-24893 (XWiki, RCE):

• Wejście użytkownika w komponencie SolrSearch nie jest adekwatnie sanityzowane, co pozwala na server-side template injection i wykonanie złośliwego kodu po stronie serwera.
• Atak możliwy bez uwierzytelnienia – „gość” może wywołać RCE przygotowanym żądaniem HTTP.

CVE-2025-41244 (VMware Tools / Aria Operations, LPE):

• Luka klasy local privilege escalation dotyczy środowisk z narzędziami VMware Tools i/lub zarządzanych przez Aria Operations; poprawki są dostępne w ramach advisory Broadcoma.

Praktyczne konsekwencje / ryzyko

• XWiki (RCE): pełna kompromitacja instancji (CIA: H/H/H), instalacja backdoorów, kryptominerów, pivot do sieci wewnętrznej. Atak możliwy z Internetu.
• VMware (LPE): eskalacja uprawnień na VM-ach może umożliwić wyjście poza ograniczenia kontenerów/usług i ułatwić lateral movement w środowiskach wirtualizacyjnych. (Charakter wniosku – na podstawie klasy podatności i oficjalnego advisory).

Rekomendacje operacyjne / co zrobić teraz

1. Priorytetowe łatanie (48–72h):
   • Zaktualizuj XWiki do wersji zawierającej poprawkę RCE oraz wszystkie zależności wtyczek wyszukiwania. (Sprawdź noty wydawnicze własnej dystrybucji/instancji).
   • Zastosuj łatki Broadcom/VMware dla Aria Operations/VMware Tools zgodnie z advisory (VMSA/komunikat Broadcom).
2. Krótkoterminowe twardnienie:
   • Ogranicz dostęp z Internetu do interfejsów administracyjnych XWiki i Aria/Tools (WAF, IP allowlist).
   • Monitoruj nietypowe żądania do endpointów wyszukiwania XWiki (np. parametry text= w SolrSearch) i blokuj wzorce SSTI. (Na podstawie opisów CVE i obserwacji badaczy).
3. Threat hunting / IR:
   • W XWiki szukaj artefaktów z kampanii coinminer (np. podejrzane pliki w /tmp, podejrzane żądania do Main/SolrSearch).
   • Na hostach VMware: przejrzyj logi pod kątem nietypowej aktywności lokalnych użytkowników na VM-ach z Tools oraz zgodności wersji z advisory.
4. Zarządzanie ryzykiem ciągłe:
   • Włącz automatyczną korelację z CISA KEV – traktuj wpisy z KEV jako priorytet w SLA patchowania.

Różnice / porównania z innymi przypadkami

• Klasa ataku: XWiki to zdalne RCE bez uwierzytelnienia (ekspozycja internetowa = najwyższe ryzyko). VMware to lokalne podniesienie uprawnień (wymaga wcześniejszego footholdu, ale w środowiskach VDI/serwerowych skutki mogą być krytyczne).
• Ścieżka ataku: XWiki – wektor aplikacyjny HTTP; VMware – wektor lokalny na VM zarządzanej przez narzędzia VMware.

Podsumowanie / najważniejsze wnioski

• KEV = „alarm patchowania”: dodanie obu CVE do KEV potwierdza aktywne nadużycia i wymaga natychmiastowych działań.
• XWiki (CVE-2025-24893) to łatwy, zdalny RCE – priorytet 1 w systemach publicznie dostępnych.
• VMware (CVE-2025-41244) wzmacnia łańcuch ataku po początkowym włamaniu – niezwłocznie aktualizuj narzędzia i komponenty zarządzające.
• Dowody z terenu (XWiki) pokazują faktyczne infekcje i kryptomining – włącz detekcje behawioralne i IoC.

Źródła / bibliografia

• SecurityWeek: „CISA Adds Exploited XWiki, VMware Flaws to KEV Catalog”. (SecurityWeek)
• CISA: alert o dodaniu dwóch pozycji do KEV (30.10.2025) oraz strona katalogu KEV. (CISA)
• Broadcom (VMware): advisory dot. CVE-2025-41244 (Aria Operations / VMware Tools). (Support Portal)
• NVD: wpis dla CVE-2025-24893 (XWiki, RCE). (NVD)
• VulnCheck: obserwacje aktywnej eksploatacji CVE-2025-24893. (VulnCheck)