XWiki RCE Vulnerability Actively Exploted In Wild To Deliver Coinminer
2025/10/28 CyberSecurityNews — 人気のオープンソース Wiki プラットフォーム XWiki に存在する、深刻なリモート・コード実行 (RCE) の脆弱性が悪用され、侵害を受けたサーバ上で暗号通貨マイニング・マルウェアが展開されている。脆弱性 CVE-2025-24893 を悪用する未認証の攻撃者は、悪意のテンプレートを挿入することで、認証の完全な回避と任意のコード実行を可能にするという。
この発見が浮き彫りにするのは、Web アプリケーションに対する脅威の増大である。現実の世界での攻撃は、CISA からの公式アラートである Known Exploited Vulnerabilities (KEV) カタログよりも、はるかに頻繁に発生している。
脆弱性インテリジェンス VulnCheck は、脆弱なシステムをシミュレートして攻撃を検出する自社の Canary ネットワークのデータに基づき、この脆弱性を報告している。
以前に行われた Cyble/Shadow Server/CrowdSec による報告では、単なるエクスプロイトの試みが報告されていたが、VulnCheck の観察結果で明らかにされたのは、ベトナムの IP アドレスから発信された高度な2段階の攻撃チェーンである。
この脆弱性は、2025年3月の時点で、VulnCheck KEV に追加されたものである。Wiki の SolrSearch エンドポイントにおけるテンプレート・インジェクションに関係しており、攻撃者は Groovy スクリプトを用いてコマンドを実行できるという。
この脆弱性が CISA KEV に登録されていないことが示すのは、正式な認定を受ける前にエクスプロイトが急増し、ユーザー組織が危険にさらされる可能性があることだ。
2段階のエクスプロイト・プロセス
この攻撃は、少なくとも 20分の間隔を置いた2つのフェーズで展開され、検出の回避が図られている。
最初のリクエストでは、攻撃者は URL エンコードされた GET リクエストを SolrSearch エンドポイントに送信し、非同期 Groovy ペイロードを挿入する。それに続いて、このペイロードが wget を使用して、”193.32.208.24:8080″ にある C2 (Command and Control) サーバから x640 というダウンローダ・スクリプトをダウンロードする。
このスクリプトは、標的システムの “/tmp/11909” に保存される。なお、非同期 Groovy ペイロードは、Firefox のユーザー・エージェントを用いることで、正規のブラウザ・トラフィックの中に紛れ込んでいる。
それから約 20分後に、2回目のリクエストが “/tmp/11909” で bash を起動し、ステージングされたファイルを実行する。VulnCheck によると、このダウンローダは2つの追加スクリプト (x521 と x522) を取得し、それらを bash に直接パイプして実行するという。
これらのスクリプトにより、ペイロードの配信が処理される。x521 は “/var/tmp” にディレクトリを作成し、同じ C2 からコインマイナーのバイナリ tcrond をダウンロードし、実行権限を設定する。
その一方で x522 は、xmrig や kinsing などの競合するマイナーを強制的に終了させて環境をクリーンアップし、履歴ログを消去し、ポート 80 で “auto.c3pool.org” を指すコンフィグにより tcrond を起動する。
このマイナーは難読化のために UPX パックされており、支払いに Monero ウォレットアドレスを用いている。それが示すのは、高度なレベルではないが、持続的な操作を可能にする仕組みである。
“123.25.249.88” にまで遡る、すべてのトラフィックは、複数の AbuseIPDB レポートで不正活動としてフラグ付けされている。
主な指標
これらの指標を利用する防御側は、ネットワーク全体で同様の活動を探すことができる。このエクスプロイトは、ペイロードのホスティングに “transfer.sh” を利用しているが、この手法はクリプト・ジャッキング・キャンペーンでよく見られるものだ。
| Indicator Type | Details |
|---|---|
| IP Addresses | 123.25.249.88 (Attacker, Vietnam); 193.32.208.24 (C2 Server) |
| File Hashes (SHA-256) | tcrond (packed): 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10; tcrond (unpacked): 90d274c7600fbdca5fe035250d0baff20889ec2b; x521: de082aeb01d41dd81cfb79bc5bfa33453b0022ed; x522: 2abd6f68a24b0a5df5809276016e6b85c77e5f7f; x640: 5abc337dbc04fee7206956dad1e0b6d43921a868 |
| CVSS Score | 9.8 (Critical) – Unauthenticated RCE via template injection in XWiki versions prior to 15.10.6 |
| Affected Products | XWiki Enterprise, XWiki Standard; Impacts web servers running vulnerable instances |
XWiki を使用している組織にとって必要なことは、直ちにバージョン 15.10.6 以降にパッチを適用し、異常な wget トラフィックを監視し、これらの IOC をスキャンすることである。
VulnCheck の Canaries は、公式リストの遅延により生じるギャップを埋める、プロアクティブな脅威インテリジェンスの価値を実証している。
XWiki の未認証 RCE CVE-2025-24893 を悪用する脅威アクターが、SolrSearch のテンプレート注入経由で Groovy ペイロードをダウンロードし、wget により C2 からダウンローダを取得するという二段階の攻撃を展開しています。問題の本質は、テンプレート処理の入力検証不足と外部リソース呼び出しの設計にあります。攻撃者は時間差を確保した実行で検出を回避し、追加スクリプトで競合プロセス停止やログ消去を行い、UPX 化されたコインマイナーを展開して永続化を達成していると、この記事は指摘しています。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.