มัลแวร์ RondoDox botnet กำลังใช้การโจมตีจากช่องโหว่ Remote code execution (RCE) ระดับ Critical ใน XWiki Platform ซึ่งมีหมายเลข CVE-2025-24893
เมื่อวันที่ 30 ตุลาคมที่ผ่านมา CISA ได้ระบุว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง
ล่าสุด รายงานจาก VulnCheck บริษัทด้าน vulnerability intelligence ระบุว่า CVE-2025-24893 กำลังถูกใช้ในการโจมตีโดยผู้ไม่หวังดีหลายกลุ่ม รวมถึงผู้ควบคุม botnet อย่าง RondoDox และ cryptocurrency miners
RondoDox เป็นมัลแวร์ botnet ขนาดใหญ่ที่ถูกบันทึกไว้ครั้งแรกโดย Fortinet เมื่อเดือนกรกฎาคม 2025 ว่าเป็นภัยคุกคามใหม่ ต่อมาในช่วงต้นเดือนตุลาคม Trend Micro ได้แจ้งเตือนถึงการเติบโตอย่างก้าวกระโดดของ RondoDox โดยเวอร์ชันล่าสุดได้มุ่งเป้าโจมตีอุปกรณ์อย่างน้อย 30 รายการ ผ่านช่องโหว่ที่เป็นที่รู้จัก 56 รายการ ซึ่งบางส่วนถูกเปิดเผยในงานแข่งขันการแฮ็ก Pwn2Own
ตั้งแต่วันที่ 3 พฤศจิกายน ทาง VulnCheck ได้สังเกตเห็นว่า RondoDox ใช้การโจมตีจากช่องโหว่ CVE-2025-24893 ผ่าน HTTP GET request ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งจะ inject โค้ด Groovy ที่เข้ารหัสแบบ base64 ผ่านทาง XWiki SolrSearch endpoint ทำให้เซิร์ฟเวอร์ดาวน์โหลด และเรียกใช้ remote shell payload
Script ที่ดาวน์โหลดมา (rondo.<value>.sh) เป็น first-stage downloader ที่ทำหน้าที่ retrieves และเรียกใช้งาน payload หลักของ RondoDox
นักวิจัยสังเกตเห็นว่าการโจมตีเพิ่มเติมที่เกี่ยวข้องกับการติดตั้งโปรแกรม cryptocurrency miner ในวันที่ 7 พฤศจิกายน และยังพบความพยายามในการสร้าง bash reverse shell ในวันที่ 31 ตุลาคม และ 11 พฤศจิกายน
VulnCheck ยังได้บันทึกการสแกนเป็นวงกว้างโดยใช้เครื่องมือ Nuclei โดยส่ง payload ที่พยายามเรียกใช้คำสั่ง cat /etc/passwd ผ่านการ Groovy injection ที่ XWiki SolrSearch endpoint รวมถึงการตรวจสอบแบบ OAST (Out-of-Band Application Security Testing)
XWiki Platform เป็นแพลตฟอร์ม wiki สำหรับองค์กรแบบ open-source ที่ทำงานบน Java ซึ่งใช้เป็นหลักสำหรับโซลูชันบริหารจัดการองค์ความรู้ภายในองค์กรที่ติดตั้งบนเซิร์ฟเวอร์ของตนเอง
CVE-2025-24893 ส่งผลกระทบต่อเวอร์ชันก่อน 15.10.11 และ 16.4.1 ซึ่งเป็นเวอร์ชันเป้าหมายที่ผู้ดูแลระบบควรอัปเกรด และเนื่องจากช่องโหว่ดังกล่าวกำลังถูกใช้โจมตีอย่างต่อเนื่อง จึงแนะนำให้ทำการติดตั้งแพตช์แก้ไขโดยทันที
นักวิจัยระบุว่า ผู้โจมตีหลายกลุ่มเริ่มใช้การโจมตีจากช่องโหว่ดังกล่าวเพียงไม่กี่วันหลังจากเริ่มมีการโจมตีครั้งแรก
พวกเขาระบุว่า เหตุการณ์ที่สังเกตเห็นนั้นมาจาก user-agent และเซิร์ฟเวอร์ payload ที่มีข้อมูลบันทึกไว้ว่าเกี่ยวข้องกับ RondoDox ซึ่งหมายความว่า indicators of compromise (IoCs) ของ botnet นี้ที่มีการเปิดเผยต่อสาธารณะนั้น น่าจะสามารถนำไปป้องกันความพยายามในการโจมตีเหล่านี้ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.