El malware botnet RondoDox está explotando activamente servidores XWiki sin parches mediante la vulnerabilidad crítica CVE-2025-24893 (CVSS 9.8), permitiendo ejecución remota de código arbitrario.
🔍 CVE-2025-24893
Bug de inyección de evaluación que permite a cualquier usuario invitado ejecutar código remoto a través del endpoint /bin/get/Main/SolrSearch.
Versiones afectadas: Todas anteriores a XWiki 15.10.11, 16.4.1 o 16.5.0RC1
Parche disponible desde: Febrero 2025
🤖 RondoDox: Botnet en Expansión
RondoDox incorpora dispositivos vulnerables para:
- Ataques DDoS (HTTP, UDP, TCP)
- Minería de criptomonedas
- Acceso persistente (shells inversos, backdoors)
Cronología: Marzo 2025 (primeras evidencias) → Nov 3 (primera explotación RondoDox) → Nov 7 (pico máximo) → Nov 11 (nueva oleada)
🛡 Mitigación Urgente
La CISA agregó esta vulnerabilidad a su catálogo KEV, requiriendo mitigaciones antes del 20 de noviembre de 2025.
Acciones Inmediatas
- Actualizar XWiki a versión parcheada (15.10.11+, 16.4.1+ o 16.5.0RC1+)
- Restringir acceso al endpoint /bin/get/Main/SolrSearch si no puedes actualizar
- Monitorear logs para detectar intentos de explotación
- Revisar procesos y conexiones salientes inusuales
Mejores Prácticas
- ✅ Gestión de parches robusta
- ✅ Monitoreo continuo de amenazas
- ✅ Principio de menor privilegio
- ✅ Segmentación de red
🔬 Indicadores de Compromiso
- Solicitudes sospechosas a /bin/get/Main/SolrSearch
- Alto consumo de CPU/memoria
- Procesos desconocidos
- Tráfico de red inusual (UDP/TCP saliente)
📚 Referencias
Conclusión: La explotación activa de CVE-2025-24893 subraya la importancia crítica de mantener sistemas actualizados. Las organizaciones que usan XWiki deben priorizar la actualización inmediata.