Критична RCE‑уразливість CVE-2025-24893 в XWiki Platform стала ціллю для нової хвилі автоматизованих атак ботнету RondoDox. Вразливість уже внесена до каталогу відомо експлуатованих уразливостей CISA KEV, а з початку листопада фіксується стрімке зростання спроб її використання, що свідчить про швидку адаптацію експлойтів кіберзлочинними угрупованнями.
Ботнет RondoDox: швидка еволюція нової загрози
RondoDox вперше був задокументований дослідниками влітку 2025 року. За оцінками аналітиків Fortinet, за ботнетом стоїть відносно нова група, сфокусована на масовому захопленні інтернет‑пристроїв для побудови розгалуженої розподіленої інфраструктури ботнету.
За кілька місяців масштаби активності RondoDox суттєво збільшилися. Фахівці Trend Micro повідомляють, що актуальні версії шкідливого ПЗ націлені на широкий спектр цілей: цифрові та мережеві відеореєстратори, системи відеоспостереження, веб‑сервери та інші IoT/edge‑пристрої. Для розширення ботнету зловмисники експлуатують десятки вразливостей, включно з тими, що раніше демонструвалися на змаганнях Pwn2Own, де регулярно розкриваються практичні ланцюги компрометації популярних продуктів.
CVE-2025-24893: критична RCE‑уразливість у корпоративній XWiki
XWiki — це популярна open source wiki‑платформа, яку організації використовують як внутрішню систему управління знаннями, базу технічної документації й основу для внутрішніх порталів. Завдяки гнучкій архітектурі XWiki часто інтегрується з ключовими бізнес‑процесами, що робить її привабливою ціллю для атак.
Уразливість CVE-2025-24893 належить до класу Remote Code Execution (RCE) і впливає на версії XWiki нижче 15.10.11 та 16.4.1. Її експлуатація дозволяє віддаленому зловмиснику виконувати довільні команди на сервері XWiki, зазвичай від імені сервісного облікового запису, а в окремих конфігураціях — із підвищеними привілеями, що відкриває шлях до повного захоплення системи.
Як RondoDox атакує XWiki через CVE-2025-24893
Groovy‑інʼєкція через ендпойнт SolrSearch
За даними VulnCheck, починаючи з 3 листопада 2025 року оператори RondoDox активно надсилають спеціально сформовані HTTP GET‑запити до вразливих інсталяцій XWiki. Основна ціль — ендпойнт SolrSearch, у межах якого реалізовано можливість виконання Groovy‑коду як частини пошукової логіки.
У тілі запиту приховано base64‑закодований фрагмент Groovy‑скрипта. Після декодування цей скрипт виконується на сервері, завантажує віддалений shell‑скрипт і розгортає основну шкідливу корисну нагрузку RondoDox. У підсумку сервер XWiki непомітно перетворюється на вузол ботнету з підключенням до C2‑інфраструктури (серверів керування та контролю).
Криптомайнінг та reverse shell на скомпрометованих серверах
Окрім підключення до ботнету, зловмисники активно встановлюють на заражених системах криптовалютні майнери. Це призводить до різкого зростання навантаження на CPU, погіршення продуктивності бізнес‑додатків і ризику відмов у наданні сервісів через брак ресурсів.
Фіксуються також спроби розгортання reverse shell — прихованого каналу віддаленого доступу, який дозволяє атакувальникам виконувати довільні команди в інтерактивному режимі, здійснювати lateral movement (горизонтальне пересування мережею) та зберігати стійку присутність навіть після часткового очищення середовища.
Масове сканування XWiki та Groovy‑інʼєкцій різними групами
Інтерес до CVE-2025-24893 не обмежується лише RondoDox. VulnCheck фіксує масове сканування публічно доступних XWiki‑екземплярів, зокрема із застосуванням фреймворку Nuclei. Актори загроз запускають шаблони для Groovy‑інʼєкцій і намагаються виконати прості команди на кшталт cat /etc/passwd, щоб перевірити наявність уразливості та рівень контролю над системою.
Додатково спостерігаються OAST‑сканування (Out‑Of‑Band Application Security Testing), коли реакція сервісу перевіряється через зовнішні взаємодії — наприклад, DNS‑або HTTP‑запити до домену, що контролюється перевіряючою стороною. Такий підхід широко застосовується автоматизованими сканерами та пентестерами для пошуку вразливих хостів в інтернеті та свідчить, що CVE-2025-24893 вже стала частиною інструментарію різних хакерських груп.
Ризики для організацій і практичні кроки захисту XWiki
Поєднання критичної RCE‑уразливості в XWiki та її автоматизованої експлуатації ботнетом RondoDox створює для організацій значні ризики: від несанкціонованого доступу до внутрішньої документації та облікових даних до використання інфраструктури компанії для DDoS‑атак, розсилки спаму, криптомайнінгу та подальших компрометацій інших цілей.
Адміністраторам XWiki доцільно в пріоритетному порядку:
- Оновити XWiki щонайменше до версій 15.10.11 або 16.4.1, де уразливість CVE-2025-24893 усунена.
- Перевірити зовнішню доступність XWiki та, за можливості, обмежити її доступ через VPN, SSO‑рішення та списки довірених IP‑адрес.
- Використовувати WAF або reverse proxy із фільтрацією підозрілих запитів до SolrSearch і спроб Groovy‑інʼєкцій.
- Проаналізувати журнали подій на предмет аномальних HTTP GET‑запитів до пошукових ендпойнтів, помилок виконання Groovy‑коду та незвичних сплесків CPU‑навантаження.
- Моніторити вихідний мережевий трафік на наявність нетипових підключень до невідомих хостів, характерних для C2‑серверів та криптомайнерів.
Корисною практикою залишається інвентаризація всіх сервісів, що мають вихід в інтернет, постійне відстеження каталогу CISA KEV, періодичний запуск власних перевірок із використанням Nuclei у рамках blue‑team‑тестування, а також регулярне резервне копіювання даних XWiki із перевіркою працездатності відновлення. Чим швидше організації усунуть вразливі версії XWiki, налагодять системне управління патчами та безперервний моніторинг, тим менша ймовірність успішної компрометації та залучення їхніх ресурсів до кримінальних ботнет‑мереж.
