Система создания вики-порталов XWiki подверглась новым атакам хакеров
2 мин
84
Популярная система создания вики-порталов XWiki подвергается новой волне масштабных кибератак. Ситуация ухудшилась после того, как две недели назад произошел всплеск кибератак с использованием уязвимости XWiki CVE-2025-24893.
XWiki — это открытая Java-платформа, вики-движок позволяет создавать документацию и полноценные веб-приложения. Движок используют компании и организации для корпоративных порталов, баз знаний и систем совместной работы. В XWiki есть расширенные возможности программирования, включая поддержку скриптов на языке Groovy. Именно в обработке этих скриптов в феврале 2025 года обнаружена опасная уязвимость CVE-2025-24893. Брешь получила 9,8 баллов из 10 по оценке критичности CVE.
Данные исследователей из VulnCheck показывают, что за минувшие две недели несколько независимых злоумышленников начали снова активно эксплуатировать эту брешь. Специалисты по ИБ зафиксировали микс атакующих: от операторов ботнетов и майнеров до продвинутых хакеров с пользовательскими инструментами. Особенно заметен резкий скачок активности после 3 ноября, когда ботнет RondoDox добавил этот эксплойт в свой арсенал.
Атаки RondoDox легко идентифицировать по характерным признакам: специфический HTTP-юзерагент и стандартный формат именования вторичных нагрузок (rondo.
Тревожный тренд — использование обратных оболочек (reverse shells). 31 октября исследователи заметили попытку установить бэкдор через BusyBox nc с IP-адреса в облаке AWS, что указывает на более целенаправленную атаку, чем обычный автоматизированный скан. Кроме активных атак, система Canary Intelligence регистрирует волну сканирования.
Этот случай иллюстрирует классическую проблему: как только первый атакующий успешно использует уязвимость, за ним быстро следуют остальные. Через считанные дни после всплеска первой и новой эксплуатации целый «зоопарк вредоносов» атакует ту же брешь.
