Mã độc botnet có tên RondoDox đã được phát hiện nhắm mục tiêu vào các phiên bản XWiki chưa được vá để khai thác một lỗ hổng bảo mật nghiêm trọng có thể cho phép kẻ tấn công thực thi mã tùy ý.
Lỗ hổng đang được đề cập là CVE-2025-24893 (điểm CVSS: 9.8), một lỗi eval injection có thể cho phép bất kỳ người dùng khách nào thực hiện thực thi mã từ xa tùy ý thông qua yêu cầu tới endpoint "/bin/get/Main/SolrSearch". Nó đã được vá bởi những người bảo trì trong XWiki 15.10.11, 16.4.1 và 16.5.0RC1 vào cuối tháng 2 năm 2025.
Mặc dù có bằng chứng cho thấy lỗ hổng này đã bị khai thác trong thực tế kể từ ít nhất tháng 3, nhưng phải đến cuối tháng 10, khi VulnCheck tiết lộ rằng họ đã quan sát thấy các nỗ lực mới nhằm vũ khí hóa lỗ hổng này như một phần của chuỗi tấn công hai giai đoạn để triển khai một công cụ đào tiền điện tử.
Sau đó, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) của mình, yêu cầu các cơ quan liên bang áp dụng các biện pháp giảm thiểu cần thiết trước ngày 20 tháng 11.
Trong một báo cáo mới được công bố vào thứ Sáu, VulnCheck tiết lộ rằng họ đã quan sát thấy sự gia tăng các nỗ lực khai thác, đạt mức cao mới vào ngày 7 tháng 11, sau đó là một đợt tăng đột biến khác vào ngày 11 tháng 11. Điều này cho thấy hoạt động quét rộng hơn, có thể do nhiều threat actor tham gia vào nỗ lực này.
Điều này bao gồm RondoDox, một botnet đang nhanh chóng thêm các vector khai thác mới để đưa các thiết bị dễ bị tấn công vào botnet nhằm thực hiện các cuộc tấn công distributed denial-of-service (DDoS) sử dụng các giao thức HTTP, UDP và TCP. Cuộc khai thác RondoDox đầu tiên được quan sát vào ngày 3 tháng 11 năm 2025, theo công ty an ninh mạng.
Các cuộc tấn công khác đã được quan sát thấy khai thác lỗ hổng để phân phối các công cụ đào tiền điện tử, cũng như các nỗ lực thiết lập reverse shell và hoạt động thăm dò chung bằng cách sử dụng một Nuclei template cho CVE-2025-24893.
Những phát hiện này một lần nữa minh họa sự cần thiết phải áp dụng các thực hành quản lý bản vá mạnh mẽ để đảm bảo bảo vệ tối ưu.
"CVE-2025-24893 là một câu chuyện quen thuộc: một kẻ tấn công đi trước, và nhiều kẻ khác làm theo," Jacob Baines của VulnCheck cho biết. "Trong vòng vài ngày kể từ cuộc khai thác ban đầu, chúng tôi đã thấy các botnet, miner và các scanner cơ hội đều áp dụng cùng một lỗ hổng."
