Μια απότομη αύξηση των επιθέσεων που στοχεύουν μια κρίσιμη ευπάθεια στους διακομιστές XWiki. Πολλοί φορείς απειλών εκμεταλλεύονται ενεργά το CVE-2025-24893 για να αναπτύξουν botnets και εξορύκτες νομισμάτων και να δημιουργήσουν μη εξουσιοδοτημένη πρόσβαση σε διακομιστή στο διαδίκτυο.
Από την αρχική ανακάλυψη στις 28 Οκτωβρίου 2025, η εκμετάλλευση έχει επεκταθεί δραματικά. Το VulnCheck ανέφερε ότι πολλοί ανεξάρτητοι εισβολείς στοχεύουν τώρα ενεργά την ευπάθεια.
Που κυμαίνονται από αυτοματοποιημένα botnets έως εξελιγμένους ηθοποιούς που χρησιμοποιούν προσαρμοσμένα εργαλεία και εξειδικευμένους σαρωτές. Μέσα σε μόλις δύο ημέρες από την πρώτη αναφορά, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε το CVE-2025-24893 στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπάθειων στις 30 Οκτωβρίου 2025.
Από τότε, τα συστήματα ασφαλείας καναρίνι έχουν δει μεγάλη αύξηση στις προσπάθειες σάρωσης και επίθεσης. Η ομάδα των εισβολέων είναι μεγάλη και περιλαμβάνει πολλούς διαφορετικούς τύπους χάκερ.
Ταχεία Επέκταση Εκμετάλλευσης
Στις 3 Νοεμβρίου 2025, το botnet RondoDox άρχισε να ενσωματώνει αυτήν την ευπάθεια στο οπλοστάσιό του επιθέσεων, οδηγώντας σε απότομη αύξηση των προσπαθειών εκμετάλλευσης.
Αυτές οι επιθέσεις είναι αναγνωρίσιμες από τις χαρακτηριστικές υπογραφές HTTP User-Agent και τις συμβάσεις ονομασίας ωφέλιμου φορτίου.
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Λογισμικό που επηρεάζεται |
|---|---|---|
| CVE-2025-24893 | Απομακρυσμένη εκτέλεση κώδικα (RCE) | XWiki |
Οι επιχειρήσεις εξόρυξης κρυπτονομισμάτων έχουν επίσης ενταχθεί στο κύμα εκμετάλλευσης. Έχουν εντοπιστεί πολλές καμπάνιες εξόρυξης νομισμάτων που ανακτούν δευτερεύοντα ωφέλιμα φορτία από παραβιασμένους διακομιστές.
Οι ερευνητές του VulnCheck παρατήρησαν επιτιθέμενους να κατεβάζουν κρυφά σενάρια που τελικά αναπτύσσουν λογισμικό εξόρυξης κρυπτονομισμάτων σε ευάλωτες εγκαταστάσεις XWiki.
Πιο ανησυχητικές είναι οι προσπάθειες αντίστροφου κελύφους, υποδεικνύοντας πιθανή δραστηριότητα hands-on-πληκτρολόγιο. Οι ερευνητές του VulnCheck εντόπισαν αρκετές προσπάθειες για τη δημιουργία απευθείας συνδέσεων εντολής και ελέγχου.
Συμπεριλαμβανομένης μιας επίθεσης από μια διεύθυνση IP που σχετίζεται με το AWS χωρίς προηγούμενο ιστορικό κατάχρησης, που υποδηλώνει πιο στοχευμένες λειτουργίες πέρα από την αυτοματοποιημένη σάρωση.
Η ευπάθεια επιτρέπει στους εισβολείς να εκτελούν αυθαίρετο κώδικα σε διακομιστές XWiki που εκτίθενται στο διαδίκτυο μέσω ειδικά διαμορφωμένων αιτημάτων στο τελικό σημείο SolrSearch.
Οι εισβολείς εκμεταλλεύονται τη λειτουργία σεναρίων Groovy για να κατεβάσουν και να εκτελέσουν κακόβουλα ωφέλιμα φορτία, που κυμαίνονται από σενάρια στρατολόγησης botnet έως εξορύκτες κρυπτονομισμάτων.
Οι αναλυτές του VulnCheck έχουν τεκμηριωμένη επιθέσεις που προέρχονται από πολλές διευθύνσεις IP σε διαφορετικές χώρες, με τους διακομιστές που φιλοξενούν ωφέλιμο φορτίο να αλλάζουν συχνά τοποθεσίες.
Οι τεχνικές εκμετάλλευσης περιλαμβάνουν απευθείας εκτέλεση ωφέλιμου φορτίου, αλυσίδες μόλυνσης πολλαπλών σταδίων και κρυφά σενάρια κελύφους σχεδιασμένα να αποφεύγουν τον εντοπισμό.
Όταν η CISA πρόσθεσε την ευπάθεια στον κατάλογό της, οι επιτιθέμενοι ήταν ήδη μέρες μπροστά από τους υπερασπιστές. Αυτό υπογραμμίζει ένα κρίσιμο χάσμα μεταξύ της αρχικής εκμετάλλευσης και της ευρείας ορατότητας.
Οι οργανισμοί που χρησιμοποιούν το Canary Intelligence και τα συστήματα έγκαιρης προειδοποίησης κέρδισαν κρίσιμο χρόνο για να επιδιορθώσουν και να αμυνθούν πριν οι επιθέσεις γίνουν ευρέως διαδεδομένες.
Οι ομάδες ασφαλείας του VulnCheck θα πρέπει να παρακολουθούν για ασυνήθιστα αιτήματα στη λειτουργία SolrSearch του XWiki, απροσδόκητες εξερχόμενες συνδέσεις από διακομιστές XWiki και τυχόν σημάδια εξόρυξης κρυπτονομισμάτων ή δραστηριότητας botnet.
Οι οργανισμοί που εκτελούν εγκαταστάσεις XWiki θα πρέπει να εφαρμόζουν αμέσως τις διαθέσιμες ενημερώσεις κώδικα ασφαλείας και να ελέγχουν τα αρχεία καταγραφής διακομιστή για ενδείξεις συμβιβασμού.
Η τμηματοποίηση δικτύου και ο περιορισμός της έκθεσης στο διαδίκτυο των διακομιστών XWiki μπορεί να μειώσει σημαντικά την επιφάνεια επίθεσης. Συνιστάται επίσης η προσθήκη κανόνων ασφαλείας που μπορούν να εντοπίσουν επιθέσεις χρησιμοποιώντας το σφάλμα CVE-2025-24893.
Η ταχεία υιοθέτηση αυτής της ευπάθειας από πολλαπλές ομάδες παραγόντων απειλών υπογραμμίζει τη σημασία της έγκαιρης ανίχνευσης και της άμεσης επιδιόρθωσης.
Οι υπερασπιστές που περιμένουν επίσημες συμβουλές βρίσκονται ήδη πίσω από την καμπύλη της εκμετάλλευσης, καθιστώντας την προληπτική παρακολούθηση της ασφάλειας απαραίτητη στο σημερινό τοπίο απειλών.
