RondoDox wykorzystuje krytyczną lukę w XWiki (CVE-2025-24893) do przejmowania serwerów

Wprowadzenie do problemu / definicja luki

Nowa fala ataków botnetu RondoDox celuje w serwery XWiki, wykorzystując krytyczną podatność CVE-2025-24893 (CVSS 9.8), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Zaatakowane instancje są włączane do sieci botnetu i wykorzystywane w kolejnych kampaniach. Informację o nowej taktyce RondoDox potwierdził m.in. serwis BleepingComputer.

W skrócie

• Co się dzieje: RondoDox aktywnie skanuje i atakuje niezaktualizowane XWiki, wykorzystując CVE-2025-24893.
• Dlaczego to groźne: Luka pozwala gościowi (niezalogowanemu) uruchomić kod na serwerze XWiki.
• Skala/tempo: Eksploatacja tej podatności gwałtownie się upowszechniła — od pojedynczego aktora do wielu grup (botnety, koparki, skanery).
• Status w KEV: CISA dodała CVE-2025-24893 do katalogu Known Exploited Vulnerabilities 30 października 2025 r.
• Remediacja: Luka załatana w XWiki 15.10.11, 16.4.1 i 16.5.0RC1.

Kontekst / historia / powiązania

Badacze VulnCheck zwrócili uwagę, iż po pierwszych oznakach użycia CVE-2025-24893 do exploitu, w krótkim czasie dołączyły kolejne grupy: botnety, górnicy kryptowalut i oportunistyczni skanerzy. To klasyczny wzorzec „efektu kuli śnieżnej” po publikacji technicznych szczegółów luki.
Równolegle media branżowe raportują o „wzmożonej eksploatacji” XWiki w ostatnich dniach, a BleepingComputer precyzuje, iż jednym z beneficjentów tej luki jest właśnie botnet RondoDox.

Analiza techniczna / szczegóły luki

CVE-2025-24893 dotyczy sposobu, w jaki XWiki przetwarza treści szablonów/makro w zapytaniach (m.in. kanał RSS wyszukiwarki Solr). Atakujący mogą wstrzyknąć i wykonać Groovy w kontekście serwera — bez logowania. NVD podaje choćby prosty test na podatność, który wykrywa wykonanie kodu w tytule zwracanego feedu RSS.
Skutkiem jest pełne zdalne wykonanie kodu (RCE). Broadcom/Symantec opisuje to jako możliwość wstrzyknięcia i wykonania dowolnego kodu Groovy przez spreparowane żądania.

Praktyczne konsekwencje / ryzyko

W praktyce przejęty serwer XWiki może zostać:

• włączony do infrastruktury RondoDox (DDoS, pivot na inne cele, utrzymywanie C2),
• wykorzystany do doinstalowania dodatkowego malware (koparki, skanery),
• użyty jako przekaźnik/proxy w kolejnych atakach.
  Szybka, wieloaktorowa adopcja exploitu zwiększa ryzyko masowych kompromitacji w krótkim czasie.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast aktualizuj XWiki do wersji 15.10.11, 16.4.1 lub 16.5.0RC1 (lub nowszej gałęzi naprawczej zgodnej z Twoją linią).
2. Zastosuj reguły WAF/IPS blokujące charakterystyczne ciągi/makra w endpointach wyszukiwarki/RSS oraz monitoruj nietypowe wywołania makr (np. {{groovy}}). (Wniosek na podstawie szczegółów NVD i opisów w Broadcom.)
3. Sprawdź kompromitację: logi aplikacyjne i reverse proxy dla nietypowych zapytań do /xwiki/bin/get/...SolrSearch?media=rss..., nowo utworzone konta, modyfikacje skryptów/makr, zadania cron, nieznane procesy powłoki. (Na bazie wektora z NVD.)
4. Segmentacja i zasada najmniejszych uprawnień: ogranicz ekspozycję XWiki do zaufanych sieci/VPN, odizoluj serwer od krytycznych segmentów. (Dobra praktyka bezpieczeństwa, wzmacniana przez obserwacje VulnCheck nt. szybkiej adopcji exploitu.)
5. Śledź KEV CISA i wdrażaj priorytetowe poprawki dla pozycji w katalogu (CISA KEV = aktywnie wykorzystywane).

Różnice / porównania z innymi przypadkami

W odróżnieniu od wielu wcześniejszych błędów XWiki (np. dotyczących adekwatności klas czy nadużyć edytora), CVE-2025-24893 zapewnia RCE dla gościa poprzez przetwarzanie treści w publicznych endpointach (np. RSS Solr), co radykalnie zwiększa ryzyko skanów/automatyzacji przez botnety takie jak RondoDox. W efekcie czas od publikacji szczegółów do masowych nadużyć był wyjątkowo krótki.

Podsumowanie / najważniejsze wnioski

• RondoDox aktywnie przejmuje serwery XWiki, wykorzystując CVE-2025-24893.
• Luka jest prosta do zautomatyzowania i już masowo eksploatowana przez różne grupy.
• Aktualizacja XWiki do wersji naprawczych i twarde ograniczenie ekspozycji usług to priorytet „na już”.

Źródła / bibliografia

• BleepingComputer: „RondoDox botnet malware now hacks servers using XWiki flaw” (17 listopada 2025). (BleepingComputer)
• VulnCheck: „XWiki Under Increased Attack” (listopad 2025). (VulnCheck)
• NVD: „CVE-2025-24893 – XWiki Platform injection vulnerability” (informacje o patchach i teście podatności). (NVD)
• CISA: dodanie CVE-2025-24893 do KEV (30 października 2025). (CISA)
• SecurityWeek: „Widespread Exploitation of XWiki Vulnerability Observed” (20 listopada 2025). (SecurityWeek)