人気のオープンソース企業向けWikiプラットフォームXWikiの重大な脆弱性が、低規模な暗号通貨マイニングオペレーションの一環として実際に悪用されていると、VulnCheckが報告しています。
この問題はCVE-2025-24893(CVSSスコア9.8)として追跡されており、攻撃者はSolrSearchマクロにリクエストを送信することで、リモートで任意のコードを実行することが可能です。このマクロは全文検索のために組み込みのSolrエンジンを使用しています。
このマクロはGroovyで検索パラメータのサニタイズが不適切なため、リモートの認証されていない攻撃者が検索リクエストを作成し、悪意のあるコードを注入して、Webサーバーの権限で実行させることができます。
「この特定の脆弱性は、SolrSearchMacrosエンドポイントに提供されるtextパラメータの処理に存在します。問題は、システムコールを実行する前にユーザーが入力した文字列を適切に検証していないことに起因します。攻撃者はこの脆弱性を利用して、サービスアカウントのコンテキストでコードを実行することができます」とZDIのアドバイザリには記載されています。
この脆弱性を悪用されると、攻撃者は機密情報を漏洩させたり、調査業務を妨害したり、Webサーバーの実行ユーザー権限で任意のシステムコマンドを実行したりすることが可能になります。
このセキュリティ欠陥は、Trend MicroのJohn Kwakによって2024年5月に報告され、2024年6月にXWikiバージョン15.10.11、16.4.1、16.5.0RC1で修正されました。
バグの技術的詳細はおよそ半年後に明らかになり、NVDのアドバイザリが2月に公開されました。これを標的とした多数の概念実証(PoC)エクスプロイトが2025年初頭から利用可能となっています。
CrowdSecは今年初めに、この脆弱性が偵察目的で悪用されていることを観測しましたが、関連する活動の減少も指摘していました。現在、VulnCheckはCVE-2025-24893を悪用して暗号通貨マイナーを展開する実際の攻撃を確認したと述べています。
「我々は、ベトナムに位置する攻撃者からのXWikiカナリアに対する複数のエクスプロイト試行を観測しました。エクスプロイトは少なくとも20分間隔を空けた2段階のワークフローで進行します。最初の段階でダウンローダー(ファイルをディスクに書き込む)を用意し、2回目の段階でそれを実行します」とVulnCheckは述べています。
VulnCheckによると、これらの攻撃は低規模な暗号通貨マイニングオペレーションの一部とみられ、観測されたトラフィックは他の悪意ある活動とも関連付けられているIPアドレスから発信されています。
翻訳元: https://www.securityweek.com/xwiki-vulnerability-exploited-in-cryptocurrency-mining-operation/
