Nguyễn Tiến Đạt
Intern Writer
Botnet RondoDox vừa bị phát hiện nhắm vào các máy chủ XWiki chưa được cập nhật bản vá, lợi dụng lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi mã tùy ý từ xa. Lỗi bảo mật này, được định danh CVE-2025-24893 với điểm CVSS 9.8, là dạng tiêm mã eval cho phép bất kỳ người dùng khách nào gửi yêu cầu đến điểm cuối “/bin/get/Main/SolrSearch” và thực thi mã từ xa.
Lỗ hổng đã được đội ngũ phát triển XWiki vá trong các bản 15.10.11, 16.4.1 và 16.5.0RC1 vào cuối tháng 2/2025. Tuy nhiên, bằng chứng cho thấy lỗ hổng đã bị khai thác thực tế từ tháng 3, và đến cuối tháng 10, VulnCheck ghi nhận các cuộc tấn công mới lợi dụng lỗ hổng này trong chuỗi tấn công hai giai đoạn để triển khai công cụ đào tiền điện tử.
Sau đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa lỗ hổng vào danh mục KEV, buộc các cơ quan liên bang phải áp dụng biện pháp giảm thiểu trước ngày 20/11.
Một trong số đó là RondoDox, botnet liên tục bổ sung các kỹ thuật tấn công mới nhằm lây nhiễm thiết bị dễ tổn thương và sử dụng chúng để triển khai các cuộc tấn công DDoS qua các giao thức HTTP, UDP và TCP. Lần đầu RondoDox bị phát hiện khai thác lỗ hổng này là ngày 3/11/2025.
Ngoài botnet, VulnCheck cũng ghi nhận nhiều cuộc tấn công khác sử dụng lỗ hổng để triển khai công cụ đào tiền điện tử, thiết lập shell ngược và hoạt động thăm dò hệ thống bằng mẫu Nuclei dành cho CVE-2025-24893.
Những phát hiện này tiếp tục nhấn mạnh tầm quan trọng của việc quản lý bản vá đúng cách để đảm bảo an toàn hệ thống. Như Jacob Baines từ VulnCheck nhận định, “CVE-2025-24893 là một câu chuyện quen thuộc: một kẻ tấn công hành động trước, và nhiều kẻ khác theo sau. Chỉ vài ngày sau vụ khai thác ban đầu, chúng tôi đã thấy botnet, thợ đào và máy quét cơ hội cùng tận dụng lỗ hổng này.” "thehackernews"
Lỗ hổng đã được đội ngũ phát triển XWiki vá trong các bản 15.10.11, 16.4.1 và 16.5.0RC1 vào cuối tháng 2/2025. Tuy nhiên, bằng chứng cho thấy lỗ hổng đã bị khai thác thực tế từ tháng 3, và đến cuối tháng 10, VulnCheck ghi nhận các cuộc tấn công mới lợi dụng lỗ hổng này trong chuỗi tấn công hai giai đoạn để triển khai công cụ đào tiền điện tử.
Sau đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa lỗ hổng vào danh mục KEV, buộc các cơ quan liên bang phải áp dụng biện pháp giảm thiểu trước ngày 20/11.
RondoDox gia tăng tấn công để mở rộng botnet
Trong báo cáo công bố ngày thứ Sáu, VulnCheck cho biết hoạt động khai thác đã tăng mạnh, đạt đỉnh vào ngày 7/11 và tiếp tục tăng vào ngày 11/11. Điều này cho thấy có nhiều tác nhân đe dọa cùng tham gia quét và khai thác trên diện rộng.Một trong số đó là RondoDox, botnet liên tục bổ sung các kỹ thuật tấn công mới nhằm lây nhiễm thiết bị dễ tổn thương và sử dụng chúng để triển khai các cuộc tấn công DDoS qua các giao thức HTTP, UDP và TCP. Lần đầu RondoDox bị phát hiện khai thác lỗ hổng này là ngày 3/11/2025.
Ngoài botnet, VulnCheck cũng ghi nhận nhiều cuộc tấn công khác sử dụng lỗ hổng để triển khai công cụ đào tiền điện tử, thiết lập shell ngược và hoạt động thăm dò hệ thống bằng mẫu Nuclei dành cho CVE-2025-24893.
Những phát hiện này tiếp tục nhấn mạnh tầm quan trọng của việc quản lý bản vá đúng cách để đảm bảo an toàn hệ thống. Như Jacob Baines từ VulnCheck nhận định, “CVE-2025-24893 là một câu chuyện quen thuộc: một kẻ tấn công hành động trước, và nhiều kẻ khác theo sau. Chỉ vài ngày sau vụ khai thác ban đầu, chúng tôi đã thấy botnet, thợ đào và máy quét cơ hội cùng tận dụng lỗ hổng này.” "thehackernews"
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
