RondoDox ボットネットマルウェアは現在、CVE-2025-24893 として追跡されている XWiki Platform の重大なリモートコード実行(RCE)の脆弱性を悪用しています。
10 月 30 日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性を積極的に悪用されているとマークしました。
現在、脆弱性インテリジェンス企業 VulnCheck のレポートによると、CVE-2025-24893 は RondoDox のようなボットネットオペレーターや暗号通貨マイナーを含む複数の脅威アクターによる攻撃で悪用されています。
RondoDox は大規模なボットネットマルウェアで、2025 年 7 月に新たな脅威としてFortinet によって初めて文書化されました。10 月初旬には、Trend Micro が RondoDox の指数関数的な拡大について警告しており、最近の亜種は少なくとも 30 種類のデバイスを、Pwn2Own ハッキングコンテストで公開されたものも含む 56 件の既知の脆弱性を通じて標的にしています。
11 月 3 日以降、VulnCheck は、RondoDox が特別に細工された HTTP GET リクエストを通じてCVE-2025-24893 を悪用していることを観測しました。このリクエストは、XWiki の SolrSearch エンドポイント経由で base64 エンコードされた Groovy コードを注入し、サーバーにリモートシェルペイロードをダウンロードして実行させます。
ダウンロードされるスクリプト(rondo.<value>.sh)は第 1 段階のダウンローダーで、メインの RondoDox ペイロードを取得して実行します。
出典: VulnCheck
研究者らは、11 月 7 日に暗号通貨マイナーの展開を伴う追加の攻撃を観測しており、10 月 31 日と 11 月 11 日には bash リバースシェルの確立を試みる攻撃も確認されました。
VulnCheck はまた、Nuclei を用いた広範なスキャンも記録しており、XWiki の SolrSearch エンドポイントに対する Groovy インジェクションを通じて cat /etc/passwd を実行しようとするペイロードや、OAST ベースのプロービングが送信されていることを確認しています。
出典: VulnCheck
XWiki Platform は、主にセルフホスト型の社内ナレッジマネジメントソリューションに利用される、Java ベースのオープンソース企業向け Wiki プラットフォームです。
CVE-2025-24893 は 15.10.11 および 16.4.1 より前のバージョンに影響し、これらが管理者に推奨されるアップグレード先となります。この脆弱性が積極的に悪用されている状況を踏まえ、直ちにパッチを適用することが推奨されます。
研究者によると、最初の悪用が始まってから数日以内に、複数の攻撃者がこの脆弱性の悪用を開始しました。
彼らは、観測されたインシデントが RondoDox に関連付けられたユーザーエージェントおよび文書化されたペイロードサーバーから発生していると指摘しています。これは、ボットネットに関する公開済みの侵害指標(IoC)によって、これらの悪用試行をブロックできるはずであることを意味します。
