VietNetwork.Vn

Phần mềm độc hại botnet có tên RondoDox đã được phát hiện đang nhắm mục tiêu vào các phiên bản XWiki chưa được vá để chống lại lỗ hổng bảo mật nghiêm trọng có thể cho phép kẻ tấn công thực thi mã tùy ý.

Lỗ hổng được đề cập là CVE-2025-24893 (điểm CVSS: 9.8), một lỗi tiêm mã eval có thể cho phép bất kỳ người dùng khách nào thực thi mã từ xa tùy ý thông qua yêu cầu đến điểm cuối "/bin/get/Main/SolrSearch". Lỗ hổng này đã được đội ngũ bảo trì vá trong XWiki 15.10.11, 16.4.1 và 16.5.0RC1 vào cuối tháng 2 năm 2025.


Mặc dù có bằng chứng cho thấy lỗ hổng này đã bị khai thác trên thực tế ít nhất là từ tháng 3, nhưng mãi đến cuối tháng 10, VulnCheck mới tiết lộ rằng họ đã quan sát thấy những nỗ lực mới lợi dụng lỗ hổng này như một phần của chuỗi tấn công hai giai đoạn để triển khai trình khai thác tiền điện tử.

Sau đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng bảo mật này vào danh mục Lỗ hổng bảo mật đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các biện pháp giảm thiểu cần thiết trước ngày 20 tháng 11.

Trong báo cáo mới công bố hôm thứ Sáu, VulnCheck tiết lộ rằng họ đã quan sát thấy sự gia tăng đột biến trong các nỗ lực khai thác, đạt mức cao mới vào ngày 7 tháng 11, tiếp theo là một đợt tăng đột biến khác vào ngày 11 tháng 11. Điều này cho thấy hoạt động quét rộng hơn có thể được thúc đẩy bởi nhiều tác nhân đe dọa tham gia vào nỗ lực này.

Điều này bao gồm RondoDox, một botnet đang nhanh chóng bổ sung các vectơ khai thác mới để kết nối các thiết bị dễ bị tấn công vào botnet nhằm thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) bằng giao thức HTTP, UDP và TCP. Theo công ty an ninh mạng, lần khai thác RondoDox đầu tiên được phát hiện vào ngày 3 tháng 11 năm 2025.

Các cuộc tấn công khác đã được quan sát thấy khai thác lỗ hổng để cung cấp trình khai thác tiền điện tử, cũng như các nỗ lực thiết lập shell ngược và hoạt động thăm dò chung bằng cách sử dụng mẫu Nuclei cho CVE-2025-24893.

Những phát hiện này một lần nữa minh họa cho nhu cầu áp dụng các biện pháp quản lý bản vá mạnh mẽ để đảm bảo khả năng bảo vệ tối ưu.

"CVE-2025-24893 là một câu chuyện quen thuộc: một kẻ tấn công hành động trước, và nhiều kẻ khác theo sau", Jacob Baines của VulnCheck cho biết. "Chỉ vài ngày sau vụ khai thác ban đầu, chúng tôi đã thấy các botnet, thợ đào và máy quét cơ hội đều khai thác cùng một lỗ hổng."