Pesquisadores registraram um aumento acentuado de explorações ativas contra a falha CVE-2025-24893 em instalações XWiki expostas, usada para execução remota de código e recrutamento de servidores para botnets e mineração de criptomoedas.
Panorama e cronologia
A vulnerabilidade foi inicialmente reportada em 28 de outubro de 2025; em 30 de outubro a CISA já incluiu CVE-2025-24893 em seu catálogo de vulnerabilidades conhecidas como exploradas (Known Exploited Vulnerabilities). Desde então, observou‑se rápida adoção por múltiplos atores: scanners automatizados, campanhas de coinminer e grupos com capacidades mais sofisticadas.
Vetor de exploração e táticas detectadas
As explorações visam a funcionalidade SolrSearch do XWiki e abusam da capacidade de execução por meio de scripts Groovy para baixar e executar cargas maliciosas. As técnicas documentadas incluem execução direta de payloads, cadeias multi‑estágio com scripts ocultos e tentativas de abrir shells reversos, o que indica atividade hands‑on‑keyboard em alguns casos.
Pesquisadores da VulnCheck relataram que os ataques apresentam assinaturas HTTP User‑Agent e convenções de nome de payload recorrentes, além de origens distribuídas por múltiplos endereços IP. Em ao menos um caso foi observada exploração a partir de um IP associado à AWS sem histórico anterior de abuso, sugerindo operações mais direcionadas além dos scanners de massa.
Impacto observado
Os principais impactos relatados incluem: recrutamento de servidores para redes botnet, instalação de mineradores de criptomoeda que consomem recursos e estabelecimento de canais de comando e controle para ações subsequentes. Sistemas comprometidos passaram a hospedar scripts ocultos que acionavam downloads secundários — frequentemente hospedados em servidores que mudavam de localização para dificultar rastreamento.
Mitigações e recomendações técnicas
As fontes indicam medidas práticas imediatas:
- Aplicar os patches e correções disponibilizados para XWiki assim que disponíveis.
- Monitorar e investigar requisições anômalas ao endpoint SolrSearch e padrões de User‑Agent associados às campanhas.
- Procurar conexões de saída inesperadas originadas de servidores XWiki (indicadores de exfiltração ou comunicação C2).
- Segregar servidores XWiki da internet pública quando possível e aplicar regras de rede para limitar e registrar acessos ao serviço.
- Implementar detecção de comportamentos de mineração (uso de CPU/GPU anômalo, processos persistentes) e verificar presença de scripts ocultos em webroots.
Limites das informações disponíveis
As matérias descrevem a expansão da exploração e técnicas observadas, mas não fornecem um inventário público de endereços comprometidos nem samples completos dos payloads. Também não há, nas reportagens, uma atribuição pública consolidada a um grupo único; múltiplos atores, incluindo botnets automatizados como RondoDox — que passou a incorporar a exploração em 3 de novembro de 2025 — foram citados.
Implicações para defensores
O ritmo de adoção da CVE-2025-24893 demonstra que defesas que dependem exclusivamente de avisos formais podem chegar atrasadas. Sistemas de detecção precoce (canary, honeypots, inteligência de logs) deram vantagem às equipes que os utilizavam, permitindo aplicar mitigação antes da onda principal de exploração.
Organizações que executam XWiki devem priorizar revisão de exposição na web, aplicar updates, auditar integridade de arquivos e revisar logs de acesso para indicadores de comprometimento. A combinação de segmentação de rede, regras WAF específicas para solicitações ao SolrSearch e inspeção de processos em execução pode reduzir o risco de recrutamento para botnets e instalação de coinminers.
As informações aqui compiladas vêm de relatórios públicos sobre a CVE-2025-24893 e análises de tráfego/vetor descritas nas matérias consultadas; as fontes não apresentam dados que permitam estimativas de contagem global final de servidores comprometidos.