Một botnet mới có tên RondoDox đang tích cực nhắm mục tiêu vào các máy chủ XWiki chưa được vá, khai thác lỗ hổng RCE nghiêm trọng CVE-2025-24893. Các chuyên gia bảo mật cảnh báo về sự gia tăng đột biến các hoạt động quét, khi nhiều tác nhân đe dọa cùng tham gia lạm dụng lỗ hổng này cho các mục đích tấn công DDoS và đào tiền ảo.

Lỗ hổng đang bị khai thác là CVE-2025-24893, một lỗi tiêm mã eval trong XWiki với điểm CVSS 9.8. Lỗi này cho phép ngay cả guest cũng có thể run code thông qua một yêu cầu đến endpoint /bin/get/Main/SolrSearch. Mặc dù lỗ hổng đã được vá vào cuối tháng 2 năm 2025 trong các phiên bản 15.10.11, 16.4.1 và 16.5.0RC1 nhưng bằng chứng cho thấy nó đã bị khai thác trong thực tế ít nhất là từ tháng 3.

Tình hình trở nên đáng báo động hơn vào cuối tháng 10, khi VulnCheck tiết lộ các chiến dịch dùng lỗ hổng này để triển khai mã độc đào tiền điện tử. Ngay sau đó, CISA đã thêm CVE-2025-24893 vào danh mục Lỗ hổng KEV, yêu cầu các cơ quan liên bang phải vá trước ngày 20 tháng 11.

Trong một báo cáo mới, VulnCheck cho biết họ quan sát thấy sự gia tăng đột biến trong các nỗ lực khai thác, đạt đỉnh điểm vào ngày 7 và 11 tháng 11. Sự gia tăng này có sự góp mặt của RondoDox, một botnet đang nhanh chóng bổ sung lỗ hổng XWiki vào, nó được phát hiện lần đầu vào ngày 3 tháng 11. Mục tiêu của RondoDox là chiếm quyền kiểm soát các thiết bị dễ bị tấn công để đưa vào mạng botnet, thực hiện các cuộc tấn công DDoS bằng giao thức HTTP, UDP và TCP.

Ngoài RondoDox, các nhà nghiên cứu cũng quan sát thấy các tác nhân khác khai thác lỗ hổng để cài đặt trình đào tiền ảo, thiết lập reverse shell, hoặc tiến hành quét thăm dò hàng loạt bằng cách sử dụng các mẫu Nuclei có sẵn.

Jacob Baines của VulnCheck nhận định CVE-2025-24893 là một kẻ tấn công hành động trước, và nhiều kẻ khác theo sau. Chỉ vài ngày sau vụ khai thác ban đầu, chúng tôi đã thấy các botnet, thợ đào và máy quét cơ hội đều khai thác cùng một lỗ hổng.