Hackers Actively Scanning Internet to Exploit XWiki Remote Code Execution Vulnerability
2025/11/04 CyberSecurityNews — XWiki の SolrSearch コンポーネントに影響を及ぼす、重大なリモート・コード実行脆弱性 CVE-2025-24893 が広範な悪用の標的となっており、サイバー・セキュリティ当局が監視リストに追加している。この脆弱性により、最小限のゲスト権限しか持たない攻撃者であっても、脆弱なシステム上で任意のコマンドを実行できるという。そのため、このオープンソースのエンタープライズ Wiki プラットフォームを利用する組織に、深刻なセキュリティ・リスクが生じている。
XWiki は Confluence や MediaWiki に代わるものとして位置付けられているが、2025年2月に脆弱性が発見され、それに対処するためのセキュリティ・アドバイザリとパッチを公開している。
この脆弱性は SolrSearch コンポーネントに存在し、ゲスト・レベルの権限のみで悪用が可能であるため、基本的なアクセス権を持つ大半のユーザーに、不正なアクセスを許す可能性があるとされる。
脆弱性の発見と悪用の遅延
アドバイザリと同時に公開された PoC コードにより、この脆弱性の悪用タイムラインには異例とも言える遅延が見られた。初期の偵察スキャンは7月に確認されたが、実際の悪用試行が急増したのはごく最近のことである。
このエクスプロイト手法は、比較的単純な実行パターンを示している。攻撃者は脆弱な XWiki エンドポイント (特に SolrSearch の RSS メディア機能) に対し、細工した GET リクエストを送信する。
SANS が観測した挙動は、悪意のリクエストが非同期実行ブロック内に Groovy スクリプトコマンドを埋め込み、シェルコマンドを介してリモート・コード実行を可能にしているというものだ。
捕捉された攻撃試行から明らかになったのは、攻撃者が外部サーバー (IP アドレス 74.194.191.52) からシェルスクリプトをダウンロードして実行しようとしている様子である。これらのリクエストの User-Agent 文字列に含まれるメールアドレス “bang2013@atomicmail.io” は、脅威アクターのものだとも指摘されている。
この脆弱性を悪用する攻撃者は、リモート・コード実行を介してシステム全体の侵害を可能にするため、きわめて重大なリスクが生じる。したがって、XWiki 環境を運用する組織は、2月のセキュリティ・パッチを速やかに適用し、潜在的な侵害を防ぐ必要がある。
この脆弱性の悪用においては、ユーザー操作は必要とされず、実行パターンが単純であるため、大規模なインターネットスキャンを行う機会主義的な脅威アクターにとって、格好の標的となる。
セキュリティ・チームに対して推奨されるのは、XWiki インストールが2月のパッチで更新されていることを確認し、不審な SolrSearch リクエストを監視し、ネットワークレベルの保護を実装して悪用試行を検出/阻止することだ。なお、攻撃の複雑性が低く、スキャン活動が広範囲に及んでいる現状を踏まえると、今後もこの脆弱性が狙われ続けることが示唆される。
XWiki の SolrSearch コンポーネントにある実行経路が、ゲスト権限でも外部から細工した入力を受け取り、非同期ブロック内で Groovy スクリプトを実行できてしまうようです。それに加えて、PoC の公開で悪用方法が明確になり、攻撃は単純な細工済み GET リクエストで外部サーバからシェル・スクリプトをドロップして実行するというシナリオが成立します。ネットワークに公開された XWiki インスタンスは、この単純さゆえに、スキャンや自動攻撃の標的になりやすい状況にあると、この記事は指摘しています。よろしければ、2025/10/28 の「XWiki の RCE 脆弱性 CVE-2025-24893:積極的な悪用とコインマイナーの配布を検知」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.