O malware de botnet RondoDox está a tirar partido de uma vulnerabilidade crítica de execução remota de código (RCE) na plataforma XWiki, identificada como CVE-2025-24893. A situação é grave ao ponto de a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ter marcado a falha como estando a ser ativamente explorada a 30 de outubro, tal como consta no seu catálogo de vulnerabilidades conhecidas.
Uma ameaça em crescimento acelerado
A RondoDox é uma botnet de larga escala que foi documentada pela primeira vez pela Fortinet em julho de 2025, surgindo como uma ameaça emergente no panorama da cibersegurança. No início de outubro, a Trend Micro emitiu um aviso sobre o crescimento exponencial desta ameaça, notando que as variantes recentes estavam a visar pelo menos 30 dispositivos diferentes através de 56 vulnerabilidades conhecidas, algumas das quais tinham sido reveladas em competições de hacking como o Pwn2Own.
Agora, um novo relatório da empresa de inteligência de vulnerabilidades VulnCheck observa que a falha CVE-2025-24893 está a ser aproveitada em ataques por múltiplos atores de ameaças, incluindo operadores de botnets como a RondoDox e mineiros de criptomoedas.
Como funciona o ataque
A partir de 3 de novembro, a VulnCheck observou a RondoDox a explorar esta falha específica através de um pedido HTTP GET especialmente criado. Este pedido injeta código Groovy codificado em base64 através do endpoint SolrSearch da XWiki, levando o servidor a descarregar e executar um payload de shell remota.
O script descarregado, identificado frequentemente como rondo., atua como um downloader de primeira fase que recupera e executa a carga principal do malware RondoDox.
Além da RondoDox, os investigadores observaram ataques adicionais que envolviam a implementação de mineiros de criptomoedas a 7 de novembro, bem como tentativas de estabelecer uma reverse shell em bash ocorridas a 31 de outubro e 11 de novembro. A VulnCheck registou também uma monitorização generalizada utilizando a ferramenta Nuclei, enviando payloads que tentam executar comandos do sistema (como cat /etc/passwd) através da injeção Groovy no mesmo endpoint vulnerável.
A importância da atualização
A plataforma XWiki é um wiki empresarial de código aberto baseado em Java, amplamente utilizado para soluções de gestão de conhecimento alojadas internamente.
A falha CVE-2025-24893 afeta as versões anteriores à 15.10.11 e 16.4.1. Dado o estado de exploração ativa desta falha, a atualização imediata para versões seguras é a recomendação prioritária para todos os administradores de sistemas.
De acordo com os investigadores, múltiplos atacantes começaram a tirar partido da vulnerabilidade apenas alguns dias após o início da exploração inicial. Foi notado que os incidentes observados provêm de user-agents e servidores de payload documentados e associados à RondoDox, o que significa que os indicadores de compromisso (IoCs) publicamente disponíveis para esta botnet deverão ser capazes de bloquear estas tentativas de exploração, reforçando a segurança das infraestruturas afetadas.
Nenhum comentário
Seja o primeiro!