Popüler bir açık kaynaklı wiki platformu olan XWiki’deki kritik bir uzaktan kod yürütme (RCE) kusuru, tehlikeye atılmış sunuculara kripto para birimi madenciliği kötü amaçlı yazılımını dağıtmak için vahşi ortamda istismar edildi.
CVE-2025-24893 olarak takip edilen güvenlik açığı, kimliği doğrulanmamış saldırganların, kimlik doğrulamayı tamamen atlayarak kötü amaçlı şablonlar yerleştirmesine ve rastgele kod yürütmesine olanak tanıyor.
Bu keşif, gerçek dünya saldırılarının genellikle CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğu gibi kuruluşlardan gelen resmi uyarıları geride bıraktığı web uygulamalarına yönelik artan tehdidi vurgulamaktadır.
Bir güvenlik açığı istihbarat firması olan VulnCheck, saldırıları tespit etmek için savunmasız sistemleri simüle eden Canary ağlarından elde edilen verilere dayanarak istismarı bildirdi.
Cyble, Shadow Server ve CrowdSec’in yalnızca istismar girişimlerini belirten önceki raporlarından farklı olarak, VulnCheck’in gözlemleri Vietnam’daki bir IP adresinden kaynaklanan iki aşamalı karmaşık bir saldırı zincirini ortaya koyuyor.
Mart 2025’te VulnCheck KEV’e eklenen kusur, XWiki’nin SolrSearch uç noktasına şablon enjeksiyonunu içeriyor ve saldırganların komut yürütmek için Groovy komut dosyalarını çalıştırmasına olanak tanıyor.
CISA KEV’deki bu eksiklik, sömürünün resmi olarak tanınmadan önce nasıl artabileceğini ve kuruluşları açığa çıkarabileceğinin altını çiziyor.
İki Aşamalı Sömürü Süreci
Saldırı, tespit edilmekten kaçınmak için en az 20 dakika arayla iki aşamada gerçekleştirilir.
İlk istekte saldırganlar, SolrSearch uç noktasına URL kodlu bir GET göndererek, 193.32.208.24:8080 adresindeki bir komut ve kontrol (C2) sunucusundan x640 adlı bir indirme komut dosyasını indirmek için wget’i kullanan eşzamansız bir Groovy yükünü enjekte eder.
Bu komut dosyası hedef sistemde /tmp/11909 dizinine kaydedilir. Yük, uyum sağlamak için bir Firefox kullanıcı aracısıyla meşru tarayıcı trafiğini taklit eder.
Yaklaşık 20 dakika sonra ikinci bir istek, /tmp/11909’da bash’ı çağırarak hazırlanmış dosyayı çalıştırır. VulnCheck, indiricinin daha sonra iki ek komut dosyası (x521 ve x522) getirerek bunları doğrudan yürütülmek üzere bash’a aktardığını söyledi.
Bu komut dosyaları yük dağıtımını yönetir: x521, /var/tmp içinde dizinler oluşturur, aynı C2’den coinminer ikili tcrond’unu indirir ve çalıştırılabilir izinleri ayarlar.
Bu arada x522, xmrig ve kinsing gibi rakip madencileri öldürerek çevreyi temizler, geçmiş günlüklerini temizler ve 80 numaralı bağlantı noktasında auto.c3pool.org’u işaret eden bir yapılandırmayla tcrond’u başlatır.
Gizleme için UPX ile donatılmış madenci, ödemeler için bir Monero cüzdan adresi kullanıyor, bu da düşük karmaşıklığa sahip ancak kalıcı bir operasyona işaret ediyor.
Tüm trafik izleri 123.25.249.88’e kadar uzanıyor ve birden fazla AbuseIPDB raporunda kötüye kullanım amaçlı etkinlik olarak işaretleniyor.
Temel Göstergeler
Savunmacılar bu göstergeleri ağlardaki benzer etkinlikleri bulmak için kullanabilir. Bu istismar, cryptojacking kampanyalarında yaygın bir taktik olan yükleri barındırmak için transfer.sh’den yararlanıyor.
| Gösterge Türü | Detaylar |
|---|---|
| IP Adresleri | 123.25.249.88 (Saldırgan, Vietnam); 193.32.208.24 (C2 Sunucusu) |
| Dosya Karma Değerleri (SHA-256) | tcrond (paketlenmiş): 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10; tcrond (ambalajsız): 90d274c7600fbdca5fe035250d0baff20889ec2b; x521: de082aeb01d41dd81cfb79bc5bfa33453b0022ed; x522: 2abd6f68a24b0a5df5809276016e6b85c77e5f7f; x640: 5abc337dbc04fee7206956dad1e0b6d43921a868 |
| CVSS Puanı | 9.8 (Kritik) – 15.10.6’dan önceki XWiki sürümlerinde şablon ekleme yoluyla kimliği doğrulanmamış RCE |
| Etkilenen Ürünler | XWiki Kurumsal, XWiki Standardı; Savunmasız örnekleri çalıştıran web sunucularını etkiler |
XWiki kullanan kuruluşlar derhal 15.10.6 veya sonraki sürüme yama yapmalı, anormal wget trafiğini izlemeli ve bu IOC’leri taraymalıdır.
VulnCheck’in Kanaryaları, geciken resmi listelemelerin bıraktığı boşlukları doldurmada proaktif tehdit istihbaratının değerini gösteriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
