Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Botnet RondoDox tấn công máy chủ bằng lỗ hổng thực thi mã trong nền tảng Xwiki

11:06 | 21/11/2025
Hồng Đạt

Phần mềm độc hại botnet RondoDox hiện đang khai thác lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2025-24893) trong nền tảng XWiki.

Vào ngày 30/10, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã đánh dấu lỗ hổng này đang bị khai thác tích cực. Hiện nay, một báo cáo từ công ty tình báo lỗ hổng VulnCheck lưu ý rằng, CVE-2025-24893 đang bị lợi dụng trong các cuộc tấn công của nhiều tác nhân đe dọa, bao gồm cả các nhà điều hành botnet như RondoDox và những kẻ khai thác tiền điện tử.

Được biết, RondoDox là một phần mềm độc hại botnet quy mô lớn được Fortinet ghi nhận lần đầu tiên vào tháng 7/2025 như một mối đe dọa mới nổi. Đầu tháng 10 năm nay, Trend Micro đã cảnh báo về sự phát triển theo cấp số nhân của RondoDox, với các biến thể gần đây nhắm mục tiêu vào ít nhất 30 thiết bị thông qua 56 lỗ hổng đã biết, một số trong số đó được tiết lộ tại cuộc thi hack Pwn2Own.

Các yêu cầu RondoDox độc hại

Bắt đầu từ ngày 3/11, VulnCheck quan sát thấy RondoDox khai thác CVE-2025-24893 thông qua yêu cầu HTTP GET được thiết kế đặc biệt để đưa code Groovy (mã hóa base64) vào điểm cuối XWiki SolrSearch, khiến máy chủ tải xuống và thực thi một payload shell từ xa. Tập lệnh rondo..sh là downloader giai đoạn đầu có chức năng truy xuất và thực thi phần payload chính của RondoDox.

Các nhà nghiên cứu phát hiện các cuộc tấn công bổ sung liên quan đến việc triển khai công cụ khai thác tiền điện tử vào ngày 7/11 cùng với các nỗ lực thiết lập reverse shell bash vào ngày 31/10 và ngày 11/11.

VulnCheck cũng đã ghi lại hoạt động rà quét rộng rãi bằng Nuclei, gửi các payload cố gắng thực thi lệnh cat /etc/passwd thông qua lệnh Groovy injection trong điểm cuối XWiki SolrSearch, cũng như hoạt động thăm dò dựa trên OAST.

Hoạt động khai thác tổng thể khai thác lỗ hổng CVE-2025-24893

CVE-2025-24893 ảnh hưởng đến các phiên bản trước 15.10.11 và 16.4.1, vốn là mục tiêu nâng cấp của quản trị viên. Do lỗ hổng này đang bị khai thác, các nhà nghiên cứu khuyến cáo nên vá ngay lập tức.

Theo VulnCheck, nhiều kẻ tấn công đã bắt đầu lợi dụng lỗ hổng này chỉ vài ngày sau khi cuộc khai thác ban đầu bắt đầu. Đồng thời lưu ý rằng các sự cố mà họ quan sát được đến từ một user-agent và các máy chủ payload được ghi lại liên quan đến RondoDox. Điều này có nghĩa là các chỉ báo xâm phạm (IoC) công khai cho botnet có khả năng ngăn chặn được các nỗ lực khai thác này.

Twitter Zalo Facebook YouTube Copy Link QR Code
RONDODOX XWIKI LỖ HỔNG BẢO MẬT BOTNET TIỀN ĐIỆN TỬ PWN2OWN THỰC THI MÃ TỪ XA SHELLCODE MÃ ĐỘC PHẦN MỀM ĐỘC HẠI
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết