RondoDox olarak bilinen botnet kötü amaçlı yazılımının, yama yapılmamış XWiki örneklerini, saldırganların rastgele kod yürütmesine olanak tanıyan kritik bir güvenlik açığına karşı hedeflediği gözlemlendi.
Söz konusu güvenlik açığı CVE-2025-24893’tür (CVSS puanı: 9,8), herhangi bir konuk kullanıcının “/bin/get/Main/SolrSearch” uç noktasına bir istek yoluyla rastgele uzaktan kod yürütmesine olanak tanıyan bir değerlendirme enjeksiyon hatasıdır. Şubat 2025’in sonlarında XWiki 15.10.11, 16.4.1 ve 16.5.0RC1’deki bakımcılar tarafından yama uygulandı.
Eksikliğin en azından Mart ayından bu yana istismar edildiğine dair kanıtlar mevcut olsa da, VulnCheck’in bir kripto para madencisini konuşlandırmak için iki aşamalı bir saldırı zincirinin parçası olarak kusuru silah haline getiren yeni girişimler gözlemlediğini açıkladığı Ekim ayı sonuna kadar bu mümkün değildi.
Daha sonra ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu güvenlik açığını Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kurumların 20 Kasım’a kadar gerekli hafifletici önlemleri uygulamasını zorunlu kıldı.
Cuma günü yayınlanan yeni bir raporda VulnCheck, o zamandan bu yana istismar girişimlerinde bir artış gözlemlediğini, 7 Kasım’da yeni bir zirveye ulaştığını ve ardından 11 Kasım’da başka bir artış gözlemlediğini açıkladı. Bu, muhtemelen bu çabaya katılan birden fazla tehdit aktörünün yönlendirdiği daha geniş bir tarama faaliyetine işaret ediyor.
Buna, HTTP, UDP ve TCP protokollerini kullanarak dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere duyarlı cihazları bir botnet’e bağlamak için hızla yeni istismar vektörleri ekleyen bir botnet olan RondoDox da dahildir. Siber güvenlik şirketine göre ilk RondoDox istismarı 3 Kasım 2025’te gözlemlendi.
Kripto para madencilerine hizmet vermek için kusurdan yararlanan başka saldırıların yanı sıra CVE-2025-24893 için bir Nuclei şablonu kullanarak ters kabuk ve genel araştırma faaliyeti oluşturma girişimleri de gözlemlendi.
Bulgular, optimum korumayı sağlamak için sağlam yama yönetimi uygulamalarının benimsenmesi ihtiyacını bir kez daha gösteriyor.
VulnCheck’ten Jacob Baines, “CVE-2025-24893 tanıdık bir hikaye: İlk önce bir saldırgan hareket ediyor ve birçoğu onu takip ediyor” dedi. “İlk istismardan birkaç gün sonra botnet’lerin, madencilerin ve fırsatçı tarayıcıların hepsinin aynı güvenlik açığını benimsediğini gördük.”