Эксплуатация уязвимости CVE-2025-24893 в платформе коллективного редактирования XWiki стремительно нарастает с момента ее первого обнаружения в конце октября 2025 года. По данным VulnCheck, после включения уязвимости в каталог активно используемых уязвимостей CISA KEV 30 октября началось массовое сканирование и атаки со стороны разнообразных злоумышленников.
Описание
Специалисты отмечают, что сейчас уязвимость активно используют ботнеты, майнеры криптовалют и сканеры уязвимостей. В частности, 3 ноября к эксплуатации подключился ботнет RondoDox, что привело к резкому росту количества атак. Этот ботнет легко идентифицируется по характерному HTTP-заголовку User-Agent и формату именования вредоносных нагрузок (полезной нагрузки) вида rondo.<value>.sh.
Одновременно другие злоумышленники применяют более изощренные методы. Например, атакующий с IP-адреса 172.245.241[.]123 использовал обфусцированную нагрузку, которая загружала и выполняла майнер криптовалют. Примечательно, что базовый код был закодирован в base64, но оставался видимым в URL-параметрах, что характерно для данной уязвимости.
Особую озабоченность вызывают попытки установки обратных оболочек (reverse shell), которые могут свидетельствовать о целенаправленных атаках. 31 октября злоумышленник из Бразилии с IP-адреса 18.228.3[.]224 пытался установить обратное соединение с использованием утилиты BusyBox nc. Этот же адрес использовался для сканирования с применением техники OAST (out-of-band application security testing), что указывает на систематический подход.
Еще одна тревожная тенденция - использование уже скомпрометированных устройств в качестве платформ для новых атак. Так, 11 ноября хост из Тайваня 118.99.141[.]178, на котором одновременно работали интерфейсы QNAP и DrayTek, пытался установить обратную оболочку. Анализ показал, что это устройство ранее было уязвимо к CVE-2023-47218 в продуктах QNAP.
Широкое распространение получило сканирование с помощью инструмента Nuclei, шаблон которого для данной уязвимости выполняет команду cat /etc/passwd для подтверждения успешной эксплуатации. Также наблюдаются попытки выполнения команд id, whoami и проверки с выводом "EXPLOIT_SUCCESS".
Ситуация с CVE-2025-24893 демонстрирует классический сценарий распространения уязвимости: первоначальная эксплуатация одним злоумышленником сменяется массовыми атаками разнообразных киберпреступных групп. К моменту формального включения уязвимости в реестры типа CISA KEV, атакующие уже успевают создать значительную угрозу.
Эксперты подчеркивают, что раннее обнаружение остается ключевым преимуществом защитников. Специалисты рекомендуют администраторам XWiki немедленно установить доступные обновления безопасности и реализовать дополнительные меры контроля доступа к своим системам.
Индикаторы компрометации
IPv4
- 118.99.141.178
- 155.138.212.170
- 156.146.56.131
- 172.206.196.45
- 172.245.241.123
- 185.142.33.151
- 186.188.17.2
- 45.153.34.156
- 47.236.194.231
- 74.194.191.52
- 90.156.218.31
Domains
- 20ksduqeqksgywnsoiywsg89eqo0xrtelpa.oast.fun
- ospwrf10ny.anondns.net
URLs
- http://20ksduqeqksgywnsoiywsg89eqo0xrtelpa.oast.fun/2%22.execute%28%29%7B%7B/groovy%7D%7D%7B%7B/async%7D%7D
- http://47.236.194.231:81/setup_runnv_miner.sh%20-o%20/tmp/123.sh%22.execute
- http://90.156.218.31:8080/Vky0b4J9K3/x640%20-O%20/tmp/f1c5f%22.execute
SHA256
- 03a77a556f074184b254d90e13cdd3a31efaa5a77640405e5f78aa462736acf7
User-agent
- Mozilla/5.0 (bang2013@atomicmail.io)
- Mozilla/5.0
- python-requests/2.28.1
- python-requests/2.32.4
- python-requests/2.32.5
- Mozilla/5.0 (Mac OS X 13_2) AppleWebKit/537.36 (KHTML, like Gecko) Edge/120.0 Safari/537.36
- Mozilla/5.0 (Macintosh; U; PPC Mac OS X; fr-ch) AppleWebKit/312.1.1 (KHTML, like Gecko) Safari/312
- Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/140.0.0.0 Safari/537.36
