Hakeri su počeli masovno da eksploatišu kritičnu XWiki ranjivost svega dvije nedjelje nakon što je prijavljeno da se aktivno zloupotrebljava, upozorava VulnCheck.
Ranjivost praćena kao CVE-2025-24893 (CVSS 9.8) otkrivena je u maju 2024. i zakrpljena u junu 2024, ali je CVE identifikator dobila tek početkom 2025. godine, nakon što su tehnički detalji postali javni.
Greška postoji jer u XWiki verzijama prije 15.10.11, 16.4.1 i 16.5.0RC1 korisnički unos u pretragu nije ispravno filtriran, što omogućava udaljenim, neautentifikovanim napadačima da izvrše proizvoljan kod slanjem posebno kreiranih zahtjeva ka search endpoint-u.
Proof-of-concept (PoC) kod postoji javno od početka 2025, a bezbjednosni istraživači su primijetili da se ranjivost koristi u izviđačkim pokušajima, ali eksploatacija u stvarnom okruženju počela je tek prošlog mjeseca.
Krajem oktobra, VulnCheck je upozorio da jedan haker eksploatiše CVE-2025-24893 u okviru operacije rudarenja kriptovaluta, a američka sajber agencija CISA dodala je ranjivost u svoj KEV katalog dva dana kasnije.
Sada VulnCheck navodi da su aktivnosti usmjerene na ranjive XWiki servere značajno proširene, uz više hakera koji eksploatišu isti propust.
Botnet RondoDox je dodao exploit za ovu ranjivost u svoj arsenal i od 3. novembra sve intenzivnije cilja propust u napadima.
Od 7. novembra ranjivost se eksploatiše i u drugoj operaciji rudarenja kriptovaluta, dok je haker iz prve operacije proširio aktivnosti dodavanjem dva nova servera za hosting payloada i novog servera za hosting exploita.
VulnCheck je takođe uočio napade u kojima je IP adresa povezana sa AWS-om, bez prethodne istorije zloupotrebe, korišćena „za uspostavljanje reverse shell-a ka samoj sebi koristeći BusyBox nc binarni fajl“, vjerovatno u okviru ciljanog napada.
Drugi hakeri pokušali su da uspostave web shell-ove na ranjivim XWiki serverima. Jedan napad poticao je sa IP adrese koja „izlaže QNAP i DrayTek interfejse internetu“, vjerovatno zato što je riječ o kompromitovanom hostu, i pokušao je da postavi bash reverse shell.
Pored toga, VulnCheck je zabilježio brojne hakere koji samo skeniraju i testiraju ranjive servere, uključujući i neke koji koriste Nuclei templejte.
„U roku od nekoliko dana od početne eksploatacije, vidjeli smo botnete, rudare i oportunističke skenere kako usvajaju istu ranjivost. Još jednom se naglašava jaz između eksploatacije u divljini i vidljivosti u širokom obimu“, navodi VulnCheck.
Izvor: SecurityWeek
