کمیته رکن چهارم– یک بدافزار باتنت به نام RondoDox با سوءاستفاده از آسیبپذیری بحرانی در سرورهای وصلهنشده XWiki، دستگاههای آسیبپذیر را آلوده کرده و آنها را به شبکه باتنت خود اضافه میکند.
به گزارش کمیته رکن چهارم، این بدافزار از طریق آسیبپذیری CVE-2025-24893 با شدت ۹.۸ در مقیاس CVSS که از نوع تزریق eval است، قادر است کد دلخواه را از راه دور و بدون احراز هویت اجرا کند. این نقص در اواخر فوریه ۲۰۲۵ در نسخههای XWiki 15.10.11، ۱۶٫۴٫۱ و ۱۶٫۵٫۰RC1 برطرف شده اما سرورهای وصلهنشده همچنان در معرض خطر هستند.
نخستین بهرهبرداریها از این آسیبپذیری از مارس ۲۰۲۵ مشاهده شده بود، اما موج جدید حملات در اواخر اکتبر شناسایی شد. شرکت امنیتی VulnCheck اعلام کرد مهاجمان از این نقص در یک زنجیره حمله برای نصب ماینر رمزارز استفاده کردهاند. این آسیبپذیری سپس توسط CISA در فهرست آسیبپذیریهای شناختهشده قرار گرفت و به نهادهای فدرال دستور داده شد تا تا ۲۰ نوامبر وصلههای لازم را اعمال کنند.
گزارش جدید VulnCheck از افزایش شدید بهرهبرداریها در روزهای ۷ و ۱۱ نوامبر خبر داده که نشانهای از فعالیت همزمان چندین مهاجم و افزایش موج حملات است. در این میان، RondoDox نقش کلیدی داشته و از این آسیبپذیری برای جذب سیستمهای جدید و استفاده از آنها در حملات DDoS از طریق پروتکلهای HTTP، UDP و TCP بهره برده است.
سایر حملات شامل نصب ماینر، تلاش برای اتصال reverse shell و استفاده از ابزار Nuclei برای اسکن خودکار این آسیبپذیری بوده است. متخصصان امنیتی هشدار دادهاند که این شرایط بار دیگر نشاندهنده اهمیت اجرای بهموقع وصلههای امنیتی برای مقابله با تهدیدات روزافزون است.
