Se ha observado que el malware botnet conocido como RondoDox apunta a instancias de XWiki sin parches en busca de fallas de seguridad críticas que podrían permitir a los atacantes ejecutar código arbitrario.
La vulnerabilidad en cuestión es CVE-2025-24893 (puntuación CVSS: 9,8), que permite a un usuario invitado ejecutar código remoto arbitrario mediante una solicitud al punto final «/bin/get/Main/SolrSearch» debido a un error de inyección de reputación. Parcheado por los mantenedores de XWiki 15.10.11, 16.4.1 y 16.5.0RC1 a finales de febrero de 2025.
Aunque ha habido evidencia de que esta falla ha estado presente desde al menos marzo, no fue hasta finales de octubre que VulnCheck reveló que había observado nuevos intentos de convertir esta falla en un arma como parte de una cadena de ataque de dos pasos que implementó mineros de criptomonedas.
Posteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y dio a las agencias federales hasta el 20 de noviembre para aplicar las mitigaciones requeridas.
En su último informe publicado el viernes, VulnCheck reveló que los intentos de explotación se han disparado desde entonces, alcanzando un máximo el 7 de noviembre, antes de volver a dispararse el 11 de noviembre. Esto es indicativo de una actividad de escaneo más amplia, probablemente impulsada por múltiples actores de amenazas que participan en este esfuerzo.
Esto incluye RondoDox, una botnet que está agregando rápidamente nuevos vectores de explotación para conectar dispositivos susceptibles a una botnet que utiliza protocolos HTTP, UDP y TCP para realizar ataques distribuidos de denegación de servicio (DDoS). Según la empresa de ciberseguridad, el primer exploit RondoDox se observó el 3 de noviembre de 2025.
También hemos observado ataques que aprovechan esta vulnerabilidad para entregar mineros de criptomonedas, así como otros ataques que intentan establecer shells inversos y operaciones de sondeo generales utilizando la plantilla Nuclei para CVE-2025-24893.
Este hallazgo reitera la necesidad de emplear prácticas sólidas de gestión de parches para garantizar una protección óptima.
«CVE-2025-24893 es una historia conocida: un atacante se mueve primero y muchos otros lo siguen», dijo Jacob Baines de VulnCheck. «A los pocos días de la explotación inicial, vimos botnets, mineros y escáneres oportunistas explotando la misma vulnerabilidad».
Source link
