RondoDox Explora Servidores XWiki Vulneráveis para Expandir Botnet
17 de Novembro de 2025

O malware botnet conhecido como RondoDox vem sendo identificado atacando instâncias desatualizadas do XWiki, explorando uma falha crítica que permite a execução remota arbitrária de código.

A vulnerabilidade em questão é a CVE-2025-24893 , com pontuação CVSS 9,8.

Trata-se de uma falha do tipo eval injection que possibilita a qualquer usuário, mesmo convidado, executar código remotamente ao enviar requisições para o endpoint “/bin/get/Main/SolrSearch”.

Os desenvolvedores do XWiki corrigiram o problema nas versões 15.10.11, 16.4.1 e 16.5.0RC1, lançadas no final de fevereiro de 2025.

Embora haja indícios de exploração desde pelo menos março, somente no final de outubro a empresa VulnCheck revelou novas tentativas de uso malicioso dessa vulnerabilidade.

Essas ações fazem parte de uma cadeia de ataque em duas etapas, cujo objetivo é instalar um minerador de criptomoedas.

Após isso, a agência norte-americana de segurança cibernética CISA incluiu a CVE-2025-24893 em seu catálogo Known Exploited Vulnerabilities (KEV), determinando que órgãos federais aplicassem as correções até 20 de novembro.

O relatório mais recente da VulnCheck, divulgado na sexta-feira, indica um aumento significativo nas tentativas de exploração, com picos em 7 e 11 de novembro.

Esse movimento sinaliza uma varredura massiva, possivelmente coordenada por múltiplos atores maliciosos.

Entre eles está o RondoDox, um botnet que tem ampliado rapidamente seus métodos para alistar dispositivos vulneráveis e usá-los em ataques distribuídos de negação de serviço (DDoS) via protocolos HTTP, UDP e TCP.

O primeiro uso conhecido do RondoDox para explorar essa vulnerabilidade ocorreu em 3 de novembro de 2025, conforme a empresa de segurança.

Além do RondoDox, outras campanhas exploram a falha para instalar mineradores, estabelecer conexões reversas (reverse shells) e realizar sondagens gerais, utilizando templates Nuclei específicos para CVE-2025-24893 .

Essas descobertas reforçam a importância de uma gestão rigorosa de patches para garantir a segurança dos sistemas.

CVE-2025-24893 é um exemplo clássico: um invasor age primeiro, e muitos outros seguem”, comentou Jacob Baines, da VulnCheck.

“Em poucos dias após a exploração inicial, vimos botnets, miners e scanners oportunistas explorando a mesma vulnerabilidade.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...