Критическая уязвимость в XWiki активно эксплуатируется для скрытого майнинга криптовалют

Исследователи кибербезопасности компании VulnCheck зафиксировали активные атаки злоумышленников, эксплуатирующих критическую уязвимость в программном обеспечении для совместной работы XWiki. Уязвимость, получившая идентификатор CVE-2025-24893, позволяет злоумышленникам выполнять произвольный код на уязвимых системах без необходимости аутентификации, что представляет серьезную угрозу для организаций, использующих непропатченные версии XWiki.

Детали уязвимости

Технический анализ уязвимости показал, что проблема относится к категории внедрения шаблонов без аутентификации (Unauthenticated Remote Template Injection). Атаки исходят от вьетнамских хакерских групп, которые применяют сложную двухэтапную методологию компрометации систем. Изначальная эксплуатация происходит через конечную точку SolrSearch в XWiki, где злоумышленники внедряют вредоносный код через уязвимость инъекции шаблонов.

Процесс атаки начинается с отправки специально сформированного запроса к уязвимой конечной точке, где злоумышленники используют URL-кодированные параметры для выполнения удаленных команд. На первом этапе загружается небольшой bash-скрипт с сервера управления и контроля, расположенного по IP-адресу 193.32.208.24, который размещает вредоносные нагрузки через сервис transfer.sh. Этот загрузчик сохраняется в директории /tmp на скомпрометированных системах.

Спустя примерно 20 минут атакующие возвращаются со вторым запросом, который выполняет staged downloader, инициируя полную цепочку заражения. Загруженный скрипт немедленно получает две дополнительные полезные нагрузки, которые работают вместе для установки персистентности и развертывания майнинговой операции. Один скрипт устанавливает майнер криптовалюты под названием tcrond в скрытой директории, в то время как второй скрипт завершает работу конкурирующих майнеров и запускает вредоносное программное обеспечение для майнинга, настроенное для подключения к пулам майнинга c3pool.org.

Особую озабоченность вызывает тот факт, что, несмотря на подтвержденную эксплуатацию в реальных условиях, CVE-2025-24893 не фигурирует в каталоге известных эксплуатируемых уязвимостей CISA (Кибербезопасность и инфраструктурное агентство США), что указывает на тревожный разрыв между реальными атаками и официальным признанием угрозы. VulnCheck добавила уязвимость в собственную базу данных KEV в марте 2025 года после того, как несколько организаций по безопасности, включая Cyble, Shadow Server и CrowdSec, сообщили о попытках эксплуатации.

Майнинговое вредоносное программное обеспечение, развернутое в этих атаках, упаковано с помощью UPX для уклонения от обнаружения и использует несколько методов противодействия анализу. После активации майнер пытается завершить другие процессы майнинга криптовалюты в системе, удаляет историю команд и отключает ведение журнала истории bash для сокрытия следов своей деятельности.

Исследователи безопасности идентифицировали основную инфраструктуру атак по IP-адресу 123.25.249.88, который имеет множество сообщений в AbuseIPDB о вредоносной активности. Удаленный характер уязвимости и отсутствие требований к аутентификации делают её особенно опасной для интернет-ориентированных установок XWiki.

Организациям, использующим XWiki, рекомендуется немедленно обновиться до пропатченных версий и отслеживать свои системы на предмет индикаторов компрометации. Сетевым администраторам следует заблокировать коммуникацию с идентифицированными вредоносными IP-адресами и провести поиск конкретных хэшей файлов, связанных с этой кампанией. Своевременное применение обновлений и мониторинг сетевой активности могут предотвратить потенциальную компрометацию систем и связанные с ней финансовые потери от незаконного использования вычислительных ресурсов.

Детали уязвимости

Ссылки