Una vulnerabilidad crítica de ejecución remota de código (RCE), CVE-2025-24893, en XWiki Platform se ha convertido en objetivo prioritario del botnet RondoDox. La falla ya figura en el catálogo de vulnerabilidades explotadas conocidas de CISA (CISA KEV), y desde principios de noviembre se observa un aumento sostenido de intentos de explotación, lo que indica una rápida maduración del exploit en el ecosistema criminal.
Botnet RondoDox: infraestructura distribuida con crecimiento acelerado
RondoDox fue identificado por primera vez en verano de 2025 y, según análisis de Fortinet y otros proveedores de seguridad, está relacionado con un grupo relativamente nuevo centrado en el compromiso masivo de dispositivos expuestos a Internet. Su objetivo es construir una infraestructura de botnet flexible para actividades como ataques DDoS, distribución de malware y minería ilícita de criptomonedas.
Informes recientes de Trend Micro apuntan a que las últimas variantes de RondoDox amplían su superficie de ataque a un abanico muy amplio de equipos: grabadores digitales y de red, sistemas de videovigilancia, servidores web y ahora también instancias XWiki. Para conseguirlo, los operadores encadenan múltiples vulnerabilidades conocidas, incluidas fallas previamente demostradas en competiciones como Pwn2Own, donde suelen presentarse cadenas de explotación completas contra productos populares.
CVE-2025-24893 en XWiki: vulnerabilidad RCE en una wiki corporativa crítica
XWiki es una plataforma wiki de código abierto ampliamente utilizada como sistema corporativo de gestión del conocimiento y documentación interna. Su alta capacidad de integración con procesos de negocio y sistemas internos hace que un compromiso de XWiki tenga impacto directo sobre la confidencialidad de información sensible, credenciales y activos críticos.
La vulnerabilidad CVE-2025-24893 afecta a versiones de XWiki anteriores a 15.10.11 y 16.4.1. Se trata de una falla de Remote Code Execution que permite a un atacante remoto ejecutar comandos arbitrarios en el servidor donde se aloja XWiki, normalmente con permisos de la cuenta de servicio y, en determinadas configuraciones, con privilegios elevados. Este tipo de vulnerabilidades se consideran de alto riesgo en marcos de referencia como CVSS y las guías de CISA.
Cadena de ataque contra XWiki: de la Groovy injection al control del servidor
Explotación del endpoint SolrSearch mediante peticiones HTTP
De acuerdo con datos de VulnCheck, a partir del 3 de noviembre de 2025 los operadores de RondoDox comenzaron a atacar instancias vulnerables de XWiki mediante peticiones HTTP GET especialmente manipuladas. El vector se encuentra en el endpoint XWiki SolrSearch, que incorpora funcionalidad para evaluar código Groovy como parte de la lógica de búsqueda.
El ataque consiste en inyectar un fragmento de script Groovy codificado en base64 en los parámetros de la petición. Una vez recibido, el servidor XWiki lo decodifica y ejecuta. Este script inicial descarga y ejecuta un shell script remoto, responsable de desplegar la carga útil principal de RondoDox. De este modo, el servidor XWiki pasa a actuar como nodo del botnet y empieza a comunicarse con la infraestructura de mando y control (C2) de los atacantes.
Despliegue de criptomineros y reverse shells en servidores comprometidos
Los investigadores han observado que, además de reclutar los servidores XWiki para el botnet, los atacantes instalan criptomineros destinados a extraer criptomonedas a costa de los recursos de la organización. Este comportamiento genera picos anómalos de CPU, degradación del rendimiento de aplicaciones de negocio y posibles interrupciones en la prestación de servicios.
En otros casos se detectan intentos de establecer reverse shells: canales de acceso remoto ocultos que permiten a los atacantes ejecutar comandos en modo interactivo, realizar lateral movement dentro de la red corporativa y mantener persistencia incluso si algunos componentes maliciosos son eliminados. Este patrón es consistente con técnicas descritas en marcos como MITRE ATT&CK para compromisos de largo plazo.
Escaneo masivo de XWiki, Groovy injection y OAST
El interés en CVE-2025-24893 no se limita a RondoDox. VulnCheck ha identificado campañas de escaneo masivo de instalaciones XWiki en Internet, muchas de ellas utilizando el framework de automatización Nuclei. Los actores de amenaza ejecutan plantillas específicas de Groovy injection y validan la ejecución de comandos simples, como cat /etc/passwd, para confirmar la vulnerabilidad y el nivel de control conseguido sobre el sistema.
En paralelo se observan pruebas de OAST (Out-Of-Band Application Security Testing), que consisten en comprobar si el servicio vulnerable interactúa con dominios controlados por el atacante (por ejemplo, mediante peticiones DNS o HTTP salientes). Esta técnica, utilizada tanto por equipos de red teaming como por actores maliciosos, permite identificar instancias explotables a gran escala y confirma que CVE-2025-24893 ya forma parte del arsenal de múltiples grupos.
Riesgos para las organizaciones y medidas de mitigación prioritarias
La combinación de una vulnerabilidad RCE en XWiki y su explotación automatizada por el botnet RondoDox supone riesgos significativos para las organizaciones: acceso no autorizado a documentación interna y credenciales, uso de su infraestructura para ataques a terceros, campañas de spam, DDoS y minería de criptomonedas, además de un posible punto de entrada para comprometer otros sistemas.
Entre las medidas de mitigación recomendadas para administradores de XWiki se incluyen:
- Actualizar XWiki al menos a las versiones 15.10.11 o 16.4.1, donde se ha corregido CVE-2025-24893.
- Limitar la exposición a Internet de la plataforma, restringiendo el acceso mediante VPN, Single Sign-On y listas de direcciones IP de confianza.
- Implementar un WAF o reverse proxy con reglas específicas para bloquear patrones de Groovy injection y peticiones sospechosas al endpoint SolrSearch.
- Revisar los registros de XWiki y del servidor web en busca de picos de errores de Groovy, peticiones GET inusuales a endpoints de búsqueda y aumentos repentinos de uso de CPU.
- Monitorizar el tráfico saliente para detectar conexiones a dominios o direcciones IP desconocidas asociadas a C2 y pools de criptominería.
- Mantener un inventario actualizado de servicios expuestos, seguir de forma sistemática el catálogo CISA KEV y ejecutar escaneos internos con Nuclei como parte de las actividades de blue teaming.
- Realizar copias de seguridad periódicas de los datos de XWiki y probar los procedimientos de restauración para garantizar la continuidad del negocio ante incidentes.
La explotación de CVE-2025-24893 por RondoDox demuestra que las plataformas de wiki corporativa son ya componentes plenamente críticos de la infraestructura TI, y no servicios secundarios. Priorizar el parcheo de XWiki, reforzar los controles de acceso y establecer capacidades de monitorización continua reduce de forma drástica la probabilidad de compromiso y de que los recursos de la organización terminen integrados en redes de botnets criminales. Es un momento idóneo para revisar la postura de seguridad en torno a aplicaciones colaborativas, reforzar los procesos de gestión de vulnerabilidades y seguir profundizando en prácticas de ciberseguridad proactiva.
