RondoDox Exploits Unpatched XWiki Servers to Pull More Devices Into Its Botnet
2025/11/15 TheHackerNews — パッチ未適用の XWiki インスタンスを標的とするボットネット・マルウェア RondoDox が、深刻なセキュリティ欠陥を突き、任意のコード実行を可能にしていることが確認された。問題の脆弱性 CVE-2025-24893 (CVSS:9.8) は、評価インジェクションのバグである。このバグを悪用するゲスト・ユーザーは、”/bin/get/Main/SolrSearch” エンドポイントへのリクエストを通じて、任意のリモート・コード実行を可能にする。すでに XWiki のメンテナたちは、2025年2月下旬の時点でバージョン 15.10.11/16.4.1/16.5.0RC1 をリリースし、この問題に対処している。
この脆弱性が悪用されたという証拠は、遅くとも3月以降に確認されていた。しかし、10月下旬になって VulnCheck が明らかにしたのは、この脆弱性を悪用して暗号通貨マイナーを展開する新たな試みが、第二段階の攻撃チェーンの一部として確認されたことだ。
その後に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦政府機関に対して 11月20日までに必要な緩和策を適用するよう義務付けた。
11月14日 (金) に VulnCheck が公開した最新のレポートが明らかにしたのは、その後も悪用試行が急増し、11月7日にはピークを記録し、11月11日にはさらに急増したことだ。それが示唆するのは、複数の脅威アクターが関与する、より広範なスキャン活動が行われている可能性である。
そこに含まれる脅威アクターには、RondoDox もいる。RondoDox は勢力を強めているボットネットであり、脆弱なデバイスを取り込んだ上で、HTTP/UDP/TCP プロトコルを介して分散型サービス拒否 (DDoS) 攻撃を実行するための、新たな悪用ベクターを急速に拡大している。
サイバー・セキュリティ企業 VulnCheck によると、最初の RondoDox のエクスプロイトは 2025年11月3日の時点で確認されているという。
この脆弱性 CVE-2025-24893 を悪用することで、暗号通貨マイナーの配布だけではなく、Nuclei テンプレートを介したリバースシェルの展開や、一般的なプローブ活動を実施しようとする攻撃も確認されている。
今回の調査結果が示すのは、最適な保護を確保するために、堅牢なパッチ管理手法を導入する必要性があることだ。
VulnCheck の Jacob Baines は、「脆弱性 CVE-2025-24893 の悪用パターンは、よく見かけるものだ。1人の攻撃者が先行して行動し、その後に多数の攻撃者が追随する。ボットネット/マイナー/便乗型スキャナなどが、すべて同じ脆弱性を悪用していることが、最初の攻撃から数日以内に確認された」と述べている。
XWiki の評価インジェクションというバグが原因で、ゲスト・ユーザーからであっても任意のコード実行が可能になっています。すでにパッチが提供されていますが、未適用のインスタンスが残っていたことで、RondoDox など複数の脅威アクターが次々と攻撃に参加しているようです。脆弱なエンドポイントが一つあるだけで、攻撃の起点として広く悪用されてしまう怖さがあると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-24893 で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.