Se ha observado que el malware botnet conocido como RondoDox ataca instancias de XWiki sin parches contra una vulnerabilidad crítica que podría permitir a los atacantes ejecutar código arbitrario.
La vulnerabilidad en cuestión es CVE-2025-24893 (puntuación CVSS: 9,8), una falla de inyección de evaluación que podría permitir a cualquier usuario invitado realizar la ejecución remota de código arbitrario mediante una solicitud al punto final /bin/get/Main/SolrSearch. Los mantenedores lo parchearon en XWiki 15.10.11, 16.4.1 y 16.5.0RC1 a finales de febrero de 2025.
Aunque había pruebas de que la vulnerabilidad había sido explotada al menos desde marzo, no fue hasta finales de octubre que VulnCheck anunció que había observado nuevos intentos de explotar la vulnerabilidad como parte de una cadena de ataques de dos etapas dirigida a un minero de criptomonedas.
Posteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV) y pidió a las autoridades federales que tomaran las medidas correctivas necesarias antes del 20 de noviembre.
En un nuevo informe publicado el viernes, VulnCheck reveló que desde entonces ha observado un aumento en los intentos de explotación, alcanzando un nuevo máximo el 7 de noviembre, seguido de otro aumento el 11 de noviembre.
Esto incluye RondoDox, una botnet que agrega rápidamente nuevos vectores de explotación para incorporar dispositivos vulnerables en una botnet para realizar ataques distribuidos de denegación de servicio (DDoS) a través de los protocolos HTTP, UDP y TCP. El primer exploit de RondoDox se observó el 3 de noviembre de 2025, según la empresa de ciberseguridad.
Se observaron ataques adicionales que aprovecharon la vulnerabilidad para implementar mineros de criptomonedas, así como intentos de configurar un shell inverso y actividades de sondeo generales utilizando una plantilla Nuclei para CVE-2025-24893.
Los resultados resaltan una vez más la necesidad de adoptar prácticas sólidas de gestión de parches para garantizar una protección óptima.
“CVE-2025-24893 es una historia conocida: un atacante se mueve primero y muchos lo siguen”, dijo Jacob Baines de VulnCheck. “Apenas unos días después de la explotación inicial, vimos botnets, mineros y escáneres oportunistas explotando la misma vulnerabilidad”.
About The Author
