Botnet RondoDox explora falha crítica no XWiki de servidores

Botnet RondoDox está atacando instâncias do XWiki ainda sem correção para a falha CVE-2025-24893 (pontuação CVSS 9,8), permitindo que qualquer visitante não autenticado execute código remoto e acrescente novos dispositivos à rede maliciosa.

Como a vulnerabilidade funciona

Identificada como um eval injection, a brecha reside no endpoint “/bin/get/Main/…” do XWiki, plataforma open source de criação de wikis corporativos. Basta um pedido HTTP especialmente criado para que o invasor, mesmo com perfil de “convidado”, obtenha acesso total ao sistema operacional do servidor. Uma vez dentro, o agente injeta o malware RondoDox, que converte a máquina em bot — nó usado para lançar ataques DDoS ou minerar criptomoedas.

Impacto para sites e medidas de proteção

Empreendedores digitais que hospedam documentações, bases de conhecimento ou áreas de membros em XWiki correm alto risco: a perda de controle do servidor compromete dados de clientes, desempenho de sites WordPress e, por tabela, receitas de AdSense ou programas de afiliados. Segundo reportagem da Wired, botnets desse tipo costumam revender acesso clandestino em fóruns dark web, elevando o potencial de fraudes.

Até o momento, não há patch oficial, mas os mantenedores recomendam:

• Restringir criação de contas de convidados e desativar APIs desnecessárias;
• Monitorar tráfego anômalo nas portas expostas do XWiki;
• Aplicar filtros WAF que bloqueiem comandos de sistema nos parâmetros da URL;
• Isolar o servidor wiki de infraestrutura crítica usada para monetização.

Na prática, atualizar assim que o patch for liberado e manter backups off-site são as únicas garantias de recuperação rápida.

Compreender vulnerabilidades emergentes é vital para qualquer empresa que depende de conteúdo online para gerar receita. Acompanhe outras análises em nossa editoria de Análise de Tecnologia e mantenha sua operação protegida.

Crédito da imagem: Thehackernews
Fonte: Thehackernews