10月底資安業者VulnCheck提出警告,開源維基引擎XWiki的重大漏洞CVE-2025-24893遭到積極利用,相關活動最早可追溯到3月,攻擊者用於從事兩階段攻擊,部署挖礦軟體;最近該公司透露進一步調查的結果,指出殭屍網路RondoDox也加入漏洞利用的行列。
11月14日VulnCheck再度提出警告,在他們揭露漏洞利用活動的情況後,有多組人馬加入漏洞利用的行列,攻擊類型與活動相當多種,涵蓋殭屍網路與挖礦軟體,以及攻擊者自製的掃描工具。其中,最引起他們注意的部分,是RondoDox於11月3日將漏洞加入武器庫之後,鎖定XWiki的活動急速增加,在7日達到高峰,之後趨緩,11日又再度升溫。
不過,使用RondoDox的駭客並非唯一加入利用漏洞行列的人馬,VulnCheck也看到有人透過bash下載經過Base64處理的有效酬載,解開後會下載另一個有效酬載,其功能就是執行挖礦軟體。此外,原本兩週前攻擊IP位址僅有2個,現在增加到5個。
前述的攻擊手法,主要透過自動化的方式進行,然而,也有攻擊者手動操作,原因是VulnCheck看到有人試圖以此部署反向Shell,而這是透過鍵盤操作(hands-on-keyboard)的跡象,VulnCheck研判,很有可能是極具針對性的攻擊。
有些攻擊者仍在利用這個弱點尋找下手目標,其中一種作法,是利用以界外應用程式安全測試(Out-of-band Application Security Testing)平臺為基礎製作的工具,在網路上進行漏洞掃描,其中一種是Nuclei。
針對CVE-2025-24893造成的資安風險,攻擊者無須通過身分驗證,即可透過特定的請求遠端執行任意程式碼(RCE),CVSS風險評分為9.8分(滿分10分),XWiki開發團隊於去年7月發布的15.10.11版、16.4.1版,以及16.5.0 RC1版,修補這項弱點。該漏洞的公開,最早是歐盟漏洞資料庫(EUVD)於今年2月登記為EUVD-2025-4562列管,3月資安業者Cyble與CrowdSec偵測到漏洞利用活動,10月30日,美國網路安全暨基礎設施安全局(CISA)將其列入已遭利用的漏洞名單(KEV)。
熱門新聞
2025-12-24
2025-12-26
2025-12-26
2025-12-26
2025-12-29
2025-12-26
2025-12-26