Le malware botnet connu sous le nom de RondoDox a été observé ciblant les instances XWiki non corrigées contre une faille de sécurité critique qui pourrait permettre aux attaquants d’exécuter du code arbitraire.
La vulnérabilité en question est CVE-2025-24893 (score CVSS : 9,8), un bug d’injection d’évaluation qui pourrait permettre à tout utilisateur invité d’effectuer une exécution arbitraire de code à distance via une requête adressée au point de terminaison “/bin/get/Main/SolrSearch”. Il a été corrigé par les responsables de XWiki 15.10.11, 16.4.1 et 16.5.0RC1 fin février 2025.
Bien qu’il y ait eu des preuves que la faille avait été exploitée depuis au moins mars, ce n’est que fin octobre, lorsque VulnCheck a révélé avoir observé de nouvelles tentatives d’utilisation de la faille dans le cadre d’une chaîne d’attaque en deux étapes visant à déployer un mineur de cryptomonnaie.
Par la suite, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à appliquer les mesures d’atténuation nécessaires avant le 20 novembre.
Dans un nouveau rapport publié vendredi, VulnCheck a révélé avoir depuis observé une augmentation des tentatives d’exploitation, atteignant un nouveau sommet le 7 novembre, suivi d’une autre augmentation le 11 novembre. Cela indique une activité d’analyse plus large, probablement motivée par plusieurs acteurs malveillants participant à l’effort.
Cela inclut RondoDox, un botnet qui ajoute rapidement de nouveaux vecteurs d’exploitation pour intégrer des appareils sensibles dans un botnet afin de mener des attaques par déni de service distribué (DDoS) à l’aide des protocoles HTTP, UDP et TCP. Le premier exploit RondoDox a été observé le 3 novembre 2025 par la société de cybersécurité.
D’autres attaques ont été observées exploitant la faille pour fournir des mineurs de cryptomonnaie, ainsi que des tentatives d’établissement d’un shell inversé et d’une activité de sondage générale à l’aide d’un modèle Nuclei pour CVE-2025-24893.
Les résultats illustrent une fois de plus la nécessité d’adopter des pratiques robustes de gestion des correctifs pour garantir une protection optimale.
“CVE-2025-24893 est une histoire familière : un attaquant se déplace en premier, et plusieurs suivent”, a déclaré Jacob Baines de VulnCheck. « Quelques jours après l’exploitation initiale, nous avons vu des botnets, des mineurs et des scanners opportunistes adopter tous la même vulnérabilité. »
