資安研究人員發現,
RondoDox 殭屍網路正積極利用 XWiki 平台的重大漏洞 CVE-2025-24893,將更多設備納入旗下攻擊網路。這個漏洞的 CVSS 評分高達 9.8 分,屬於評估注入(eval injection)類型的安全漏洞。攻擊者可透過存取 "/bin/get/Main/SolrSearch" 端點,以訪客身分執行任意遠端程式碼。
XWiki 開發團隊已在今年 2 月底發布的 15.10.11、16.4.1 和 16.5.0RC1 版本中修補此漏洞。雖然有證據顯示該漏洞至少從 3 月起就已遭到利用,但直到 10 月下旬,資安公司 VulnCheck 才披露新一波攻擊活動,而這些攻擊利用兩階段攻擊鏈來部署加密貨幣挖礦程式。
資安業者 VulnCheck 在最新報告中指出,該公司觀察到利用此漏洞的攻擊次數大幅增加,在 11 月 7 日達到新高峰,11 月 11 日又出現另一波高峰。這顯示有更廣泛的掃描活動正在進行,可能由多個威脅行為者共同參與。
其中包括 RondoDox 殭屍網路。這個快速成長的殭屍網路不斷增加新的攻擊手法,將易受攻擊的設備納入其網路,用於發動分散式阻斷服務(DDoS)攻擊,攻擊方式涵蓋 HTTP、UDP 和 TCP 協定。VulnCheck 首次觀察到 RondoDox 利用此漏洞是在 2025 年 11 月 3 日。
延伸閱讀:RondoDox 殭屍網路採「霰彈槍」攻擊策略,鎖定 56 個漏洞大規模入侵網路設備
除了 RondoDox,研究人員也觀察到其他攻擊者利用相同漏洞部署加密貨幣挖礦程式、嘗試建立反向 Shell,以及使用 Nuclei 範本進行一般性探測活動。
資安研究員指出,CVE-2025-24893 的攻擊模式十分典型:一名攻擊者率先出手,其他人緊接跟進。首次攻擊發生後短短數天內,殭屍網路、挖礦程式和投機型掃描器就紛紛採用同一漏洞進行攻擊。
這起事件再次凸顯企業必須建立完善的修補管理機制,以確保系統安全。資安專家建議
使用 XWiki 平台的組織應立即檢查系統版本,並盡快升級至已修補版本,避免成為殭屍網路或其他惡意攻擊的目標。
本文轉載自 TheHackerNews。