RondoDox: La botnet explota una vulnerabilidad crítica RCE en XWiki (CVE-2025-24893)
Introducción
En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de una nueva ofensiva por parte de la botnet RondoDox, que ha comenzado a explotar activamente una grave vulnerabilidad de ejecución remota de código (RCE) en la plataforma de gestión de contenidos XWiki. El fallo, identificado como CVE-2025-24893, expone a miles de instancias XWiki a la toma de control total por parte de actores maliciosos. Este artículo ofrece un análisis detallado del incidente, sus implicaciones técnicas y las medidas recomendadas para mitigar el riesgo.
Contexto del Incidente
XWiki es una plataforma de código abierto ampliamente utilizada tanto por empresas como por organizaciones gubernamentales para gestionar documentación colaborativa. La vulnerabilidad CVE-2025-24893 fue revelada recientemente y afecta a versiones de XWiki anteriores a la 15.4. Según los registros públicos y fuentes OSINT, más de 7.500 instancias de XWiki están expuestas a Internet, con una concentración significativa en Europa Occidental y América del Norte.
La aparición de RondoDox como vector de explotación ha provocado una rápida escalada en la explotación activa del fallo. Los operadores de la botnet han adaptado su arsenal para automatizar la detección y explotación de este RCE, consolidando XWiki como un objetivo prioritario en su campaña.
Detalles Técnicos: CVE-2025-24893, vectores de ataque y TTP
CVE-2025-24893 es una vulnerabilidad crítica (CVSS 9.8) que reside en el componente de procesamiento de solicitudes HTTP de XWiki. Permite a un atacante remoto no autenticado ejecutar comandos arbitrarios en el servidor afectado mediante la manipulación de parámetros en las peticiones GET y POST. El exploit publicado aprovecha la incorrecta validación de entradas en el endpoint `/xwiki/bin/view/`, permitiendo la inyección de payloads que se ejecutan con los privilegios del proceso de XWiki, a menudo root o administrador.
La botnet RondoDox emplea técnicas automatizadas de reconocimiento (MITRE ATT&CK T1595), explotación remota (T1190) y persistencia mediante la descarga de scripts secundarios y modificación de cronjobs (T1053). Los indicadores de compromiso (IoC) asociados incluyen conexiones salientes hacia dominios de comando y control (C2) como `rondodx[.]xyz` y la presencia de archivos maliciosos como `/tmp/.rkshd`.
El exploit ha sido integrado en frameworks como Metasploit, lo que ha acelerado la proliferación de ataques de script kiddies y actores más sofisticados. Las muestras capturadas muestran una rápida propagación lateral dentro de redes internas, utilizando técnicas de movimiento lateral basadas en SSH y SMB.
Impacto y Riesgos
El impacto potencial de la explotación de CVE-2025-24893 es severo. Al comprometer instancias XWiki, RondoDox puede:
– Instalar puertas traseras persistentes para el robo de información o despliegue de ransomware.
– Integrar los sistemas comprometidos en su red de bots para ataques DDoS, minería de criptomonedas y campañas de spam.
– Robar credenciales y datos sensibles almacenados en los wikis corporativos, violando así la confidencialidad y la integridad de la información.
Según estimaciones preliminares, al menos un 15% de las instancias XWiki expuestas ya han sido escaneadas y/o comprometidas. El coste asociado a una brecha de este tipo puede superar los 120.000 euros por incidente, especialmente en organizaciones sujetas al RGPD o la futura directiva NIS2, donde las sanciones por mala gestión de datos y falta de medidas de seguridad pueden ser especialmente onerosas.
Medidas de Mitigación y Recomendaciones
Ante la gravedad del incidente, se recomienda a los administradores de XWiki:
1. **Actualizar inmediatamente** a la versión 15.4 o posterior, donde el fallo ha sido corregido.
2. **Monitorizar logs** de acceso para detectar patrones anómalos, especialmente en las rutas `/xwiki/bin/view/`.
3. Implementar reglas IDS/IPS específicas para los payloads identificados en la explotación.
4. Restringir el acceso a la interfaz de administración mediante listas blancas de IP o VPN.
5. Auditar sistemas en busca de IoC conocidos y realizar un análisis forense si se sospecha de compromiso.
6. Segmentar la red y limitar los privilegios de las cuentas asociadas a XWiki.
Opinión de Expertos
Especialistas en ciberseguridad, como Marta Herrero (analista senior en un SOC nacional), advierten: “La rapidez con la que RondoDox ha integrado este exploit demuestra la profesionalización de las botnets actuales. La explotación automatizada en entornos colaborativos puede tener un efecto dominó devastador.” Por su parte, Raúl Pérez, pentester y formador, señala: “El hecho de que existan exploits funcionales en Metasploit reduce la ventana de reacción. Las empresas deben asumir que la gestión de parches es crítica y que la visibilidad sobre los servicios expuestos es imprescindible.”
Implicaciones para Empresas y Usuarios
Este incidente subraya la necesidad de una gestión proactiva de vulnerabilidades y una política de seguridad alineada con el ciclo de vida del software. Las organizaciones afectadas pueden enfrentarse a auditorías regulatorias, sanciones económicas y pérdida de confianza de clientes y partners. Asimismo, la explotación de XWiki puede comprometer datos personales, exponiendo a las entidades a reclamaciones bajo RGPD y NIS2.
Conclusiones
La explotación de la vulnerabilidad CVE-2025-24893 en XWiki por parte de la botnet RondoDox marca un nuevo hito en la evolución de las amenazas automatizadas. La disponibilidad de exploits y la rapidez en la explotación demandan una respuesta inmediata por parte de los equipos de seguridad. La actualización y la monitorización activa son, en estos momentos, las mejores defensas ante un escenario de riesgo creciente.
(Fuente: www.bleepingcomputer.com)