Критическая RCE‑уязвимость CVE-2025-24893 в XWiki Platform стала мишенью для новой волны атак ботнета RondoDox. Уязвимость уже включена в каталог известных эксплуатируемых уязвимостей CISA (KEV), а количество попыток ее эксплуатации заметно растет с первых дней ноября, что указывает на быструю операционализацию эксплойта криминальными группировками.
Ботнет RondoDox: новая угроза с быстрым ростом
RondoDox был впервые зафиксирован исследователями летом 2025 года. По данным аналитиков Fortinet, за ним стоит относительно новая хакерская группа, ориентированная на массовый захват интернет-устройств для построения распределенной инфраструктуры ботнета.
За несколько месяцев активность RondoDox существенно возросла. Исследователи Trend Micro отмечают, что свежие версии малвари нацелены на широкий спектр устройств: от цифровых и сетевых видеорегистраторов до систем видеонаблюдения и веб-серверов. Для расширения ботнета злоумышленники используют десятки уязвимостей, включая те, что ранее были продемонстрированы на соревнованиях Pwn2Own, где регулярно раскрываются практические цепочки взлома популярных продуктов.
CVE-2025-24893 в XWiki: критическая RCE в корпоративной wiki-платформе
XWiki — это популярная опенсорсная wiki-платформа, широко используемая компаниями как внутренняя система управления знаниями и база документации. Благодаря гибкости и расширяемости XWiki часто интегрируется с критичными бизнес-процессами, что повышает привлекательность платформы для атакующих.
Уязвимость CVE-2025-24893 представляет собой удаленное выполнение кода (Remote Code Execution, RCE) и затрагивает версии XWiki ниже 15.10.11 и 16.4.1. Эксплуатация позволяет удаленному злоумышленнику выполнить произвольные команды на сервере, на котором развернута XWiki, зачастую с правами учетной записи сервиса, а в ряде конфигураций — с повышенными привилегиями.
Как RondoDox эксплуатирует XWiki: цепочка атаки
Groovy-инъекция через эндпоинт SolrSearch
По данным специалистов VulnCheck, начиная с 3 ноября 2025 года операторы RondoDox используют специально сформированные HTTP GET‑запросы к уязвимым инсталляциям XWiki. Атака нацелена на эндпоинт XWiki SolrSearch, где реализуется возможность выполнения Groovy-кода в рамках поисковой функциональности.
Вредоносный запрос содержит base64‑кодированный фрагмент Groovy‑скрипта, который после декодирования выполняется на стороне сервера. Этот скрипт загружает удаленный shell‑скрипт, отвечающий за развертывание основной полезной нагрузки RondoDox. В итоге сервер XWiki незаметно превращается в узел ботнета, получающий команды от управляющей инфраструктуры злоумышленников (C2-серверов).
Криптомайнеры и реверс‑шеллы на скомпрометированных серверах
Исследователи отмечают, что помимо подключения к ботнету злоумышленники активно разворачивают криптовалютные майнеры на зараженных серверах. Это приводит к резкому росту нагрузки на процессор и потреблению ресурсов, замедлению работы бизнес-приложений и потенциальным перебоям в обслуживании.
В отдельных случаях фиксируются попытки поднять реверс‑шелл — скрытый канал удаленного доступа, позволяющий атакующим выполнять произвольные команды в интерактивном режиме, развивать атаку внутри сети (lateral movement) и сохранять устойчивое присутствие, даже если часть вредоносных компонентов будет обнаружена и удалена.
Не только RondoDox: массовое сканирование XWiki и Groovy‑инъекции
Интерес к CVE-2025-24893 проявляют не только операторы RondoDox. По наблюдениям VulnCheck, в интернете фиксируется массовое сканирование XWiki‑установок, в том числе с использованием фреймворка Nuclei. Атакующие запускают шаблоны для Groovy‑инъекций и проверяют возможность выполнения команд вида cat /etc/passwd, чтобы подтвердить наличие уязвимости и оценить степень контроля над системой.
Дополнительно наблюдаются OAST‑сканирования (Out‑Of‑Band Application Security Testing) — когда ответность уязвимого сервиса проверяется через внешние взаимодействия (например, DNS‑ или HTTP‑запросы к контролируемому домену). Такой подход часто используется автоматизированными сканерами и пентестерами для массового поиска уязвимых экземпляров в интернете, что косвенно подтверждает: CVE-2025-24893 уже активно включена в арсенал различных хак-групп.
Риски для организаций и практические меры защиты
Сочетание RCE‑уязвимости в XWiki и автоматизированной эксплуатации ботнетом RondoDox создает для организаций целый ряд рисков: от несанкционированного доступа к внутренней документации и учетным данным до использования инфраструктуры компании для дальнейших атак, рассылки спама, DDoS‑кампаний и майнинга криптовалют.
Администраторам XWiki рекомендуется в приоритетном порядке:
- Обновить XWiki минимум до версий 15.10.11 или 16.4.1, в которых уязвимость CVE-2025-24893 устранена.
- Проверить, доступна ли XWiki из интернета, и при возможности ограничить доступ VPN‑каналами, Single Sign‑On и списками доверенных IP‑адресов.
- Развернуть WAF/Reverse‑proxy с фильтрацией подозрительных запросов к SolrSearch и попыток Groovy‑инъекций.
- Проанализировать логи на предмет аномальных HTTP GET‑запросов к поисковым эндпоинтам, ошибок выполнения Groovy и всплесков CPU‑нагрузки.
- Мониторить сетевой трафик на предмет нехарактерных исходящих соединений к неизвестным хостам, характерных для C2 и криптомайнеров.
Полезной практикой также остается ведение инвентаризации интернет-экспонированных сервисов, отслеживание каталога CISA KEV, запуск собственных проверок с помощью Nuclei в рамках blue‑team‑тестирования и регулярное резервное копирование XWiki‑данных с проверкой возможности восстановления.
История с CVE-2025-24893 и ботнетом RondoDox вновь подчеркивает: корпоративные wiki‑платформы — это не «второстепенные» сервисы, а полноценные элементы критической ИТ‑инфраструктуры. Чем быстрее организации устранят уязвимые версии XWiki, наладят системный процесс управления патчами и непрерывный мониторинг, тем ниже будет вероятность успешной компрометации и вовлечения их ресурсов в криминальные ботнет‑сети.
