9.8 балла из 10. США потребовали срочно обновить XWiki из-за резкого всплеска атак

XWiki VulnCheck CISA RondoDox CVE-2025-24893 DDoS уязвимость
9.8 балла из 10. США потребовали срочно обновить XWiki из-за резкого всплеска атак
XWiki VulnCheck CISA RondoDox CVE-2025-24893 DDoS уязвимость

Гостевой доступ к документам внезапно стал ключом от всех дверей вашего сервера.

image

Свежая активность вокруг уязвимости в XWiki показывает, насколько быстро слабые места в популярных платформах превращаются в площадку для массовых атак. Наблюдаемая динамика подчёркивает, что после появления первых успешных попыток взлома подключаются разные группы, и масштаб угрозы растёт буквально по дням.

Проблема связана с ошибкой CVE-2025-24893 с оценкой 9.8 по шкале CVSS. Этот дефект позволяет гостевому пользователю удалённо выполнять произвольный код через обращение к «/bin/get/Main/SolrSearch». Разработчики закрыли дыру в версиях XWiki 15.10.11, 16.4.1 и 16.5.0RC1 ещё в конце февраля 2025 года. Однако часть серверов продолжает работать на старых сборках, что открывает путь для несанкционированного доступа. Весной появились первые подтверждения эксплуатации, а в конце октября команда VulnCheck сообщила о новых цепочках атак, в которых уязвимость применялась для развертывания криптомайнера.

Позже американское агентство CISA включило CVE-2025-24893 в каталог активно используемых уязвимостей и обязало федеральные структуры установить защитные обновления до 20 ноября. На этом фоне VulnCheck снова зафиксировала резкий рост активности: пик пришёлся на 7 ноября, а затем последовал очередной всплеск 11 числа. Такое поведение объясняется расширением круга злоумышленников, которые параллельно сканируют интернет в поисках доступных целей.

Одним из участников гонки стал ботнет RondoDox, известный стремлением подключать новые методики взлома для расширения сети заражённых устройств. С конца октября он использует обнаруженный дефект XWiki, чтобы втягивать уязвимые серверы в инфраструктуру, применяемую для DDoS-атак по HTTP, UDP и TCP. Первые попытки применения этой схемы зафиксированы 3 ноября. Параллельно другие группы используют ту же брешь для установки майнеров, создания обратного соединения и сбора сведений о конфигурации, применяя в том числе шаблоны Nuclei для поиска подходящих целей.

Ситуация показывает, насколько быстро одна и та же уязвимость начинает работать на разных злоумышленников. Расследование VulnCheck подчёркивает, что после появления первой успешной атаки к гонке подключаются ботнеты, майнеры и сканеры, действующие независимо и параллельно. На этом фоне поддержание актуальных версий серверного ПО остаётся единственным надёжным способом снизить риски.