El malware botnet conocido como RondoDox Se ha observado que apunta a instancias de XWiki sin parches contra una falla de seguridad crítica que podría permitir a los atacantes lograr la ejecución de código arbitrario.
La vulnerabilidad en cuestión es CVE-2025-24893 (puntuación CVSS: 9,8), una error de inyección de evaluación eso podría permitir a cualquier usuario invitado realizar una ejecución remota de código arbitrario a través de una solicitud al punto final «/bin/get/Main/SolrSearch». Fue parcheado por los mantenedores en XWiki 15.10.11, 16.4.1 y 16.5.0RC1 a finales de febrero de 2025.
Si bien había evidencia de que la deficiencia había sido explotada en la naturaleza desde al menos marzo, no fue hasta finales de octubre, cuando VulnCheck revelado había observado nuevos intentos de convertir la falla en un arma como parte de una cadena de ataque de dos etapas para implementar un minero de criptomonedas.
Posteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregado la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias federales apliquen las mitigaciones necesarias antes del 20 de noviembre.
En un nuevo informe publicado el viernes, VulnCheck reveló que desde entonces ha observado un aumento en los intentos de explotación, alcanzando un nuevo máximo el 7 de noviembre, seguido de otro aumento el 11 de noviembre. Esto indica una actividad de escaneo más amplia probablemente impulsada por múltiples actores de amenazas que participan en el esfuerzo.
Esto incluye RondoDox, una botnet que está agregando rápidamente nuevos vectores de explotación para conectar dispositivos susceptibles a una botnet para realizar ataques distribuidos de denegación de servicio (DDoS) utilizando los protocolos HTTP, UDP y TCP. El primer exploit de RondoDox se observó el 3 de noviembre de 2025, según la empresa de ciberseguridad.
Se han observado otros ataques que explotan la falla para entregar mineros de criptomonedas, así como intentos de establecer un shell inverso y una actividad de sondeo general utilizando un Plantilla de núcleos para CVE-2025-24893.
Los hallazgos ilustran una vez más la necesidad de adoptar prácticas sólidas de gestión de parches para garantizar una protección óptima.
«CVE-2025-24893 es una historia conocida: un atacante se mueve primero y muchos lo siguen», dijo Jacob Baines de VulnCheck. «A los pocos días de la explotación inicial, vimos botnets, mineros y escáneres oportunistas adoptando la misma vulnerabilidad».
Fuente