VulnCheckは、脅威アクターがXWikiの重大な脆弱性を、実際に悪用が報告されてから2週間以内に大規模に悪用し始めたと警告しています。
CVE-2025-24893(CVSSスコア9.8)として追跡されているこの脆弱性は、2024年5月に発見され、2024年6月に修正されましたが、技術情報が公開された2025年初頭になって初めてCVE識別子が割り当てられました。
このバグは、XWikiのバージョン15.10.11、16.4.1および16.5.0RC1より前のバージョンで、検索機能に渡されるユーザー入力が適切にサニタイズされていないために存在し、リモートの認証されていない攻撃者が細工したリクエストを検索エンドポイントに送ることで任意のコードを実行できるようになります。
この問題を狙った概念実証(PoC)コードは2025年初頭から公開されており、セキュリティ研究者は偵察目的でこの欠陥が狙われていることを観測していましたが、実際の悪用が始まったのは先月になってからです。
10月下旬、VulnCheckは脅威アクターが暗号通貨マイニング作戦の一環としてCVE-2025-24893を悪用していると警告し、米国サイバーセキュリティ庁(CISA)は2日後にこのバグを既知の悪用脆弱性(KEV)カタログに追加しました。
現在、VulnCheckによると、脆弱なXWikiサーバーを標的とする活動は大幅に拡大しており、複数の脅威アクターがこのバグを攻撃に利用しています。
RondoDoxボットネットはこのCVEのエクスプロイトをツールセットに追加し、11月3日以降、この脆弱性を狙った攻撃が増加しています。
11月7日以降、この脆弱性は2つ目の暗号通貨マイニング作戦でも悪用されており、最初のマイニング作戦の脅威アクターは、新たに2つのペイロードホスティングサーバーとエクスプロイトをホストする新サーバーを追加して活動を拡大しました。
またVulnCheckは、AWSに関連付けられたIPアドレスが「BusyBoxのncバイナリを使って自身にリバースシェルを確立するため」に使用された攻撃も観測しており、これは標的型攻撃の一部である可能性が高いとしています。
他の脅威アクターも、脆弱なXWikiサーバー上にウェブシェルを設置しようと試みていました。これらの攻撃の一つは、「QNAPとDrayTekの両方のインターフェースをインターネットに公開している」IPから発信されており、おそらく侵害されたホストであり、bashリバースシェルの展開を試みていました。
さらにVulnCheckは、多数の脅威アクターがNucleiテンプレートを含む様々な方法で脆弱なサーバーのスキャンやプローブを行っていることも観測しています。
「最初の悪用から数日以内に、ボットネット、マイナー、機会的なスキャナーがすべて同じ脆弱性を利用し始めました。これにより、実際の悪用と大規模な可視性とのギャップが改めて浮き彫りになりました」とVulnCheckは指摘しています。
翻訳元: https://www.securityweek.com/widespread-exploitation-of-xwiki-vulnerability-observed/
