Negli ultimi mesi è stata osservata una massiccia ondata di attacchi informatici contro i server XWiki non aggiornati, sfruttando una vulnerabilità critica identificata come CVE-2025-24893. Questa vulnerabilità, con un punteggio CVSS di 9.8, è dovuta a un bug di eval injection che permette a un utente guest di eseguire codice remoto arbitrario tramite una semplice richiesta all’endpoint "/bin/get/Main/SolrSearch". Il problema era stato corretto dai manutentori del progetto XWiki con le versioni 15.10.11, 16.4.1 e 16.5.0RC1 rilasciate a fine febbraio 2025, ma molti sistemi rimangono ancora vulnerabili e non aggiornati.

Il ruolo della botnet RondoDox

Tra i principali responsabili di questa campagna di attacchi spicca il malware botnet noto come RondoDox. Questa botnet sta sfruttando attivamente la vulnerabilità CVE-2025-24893 per compromettere dispositivi e aggiungerli alla sua rete, usata soprattutto per lanciare attacchi di tipo distributed denial-of-service (DDoS) sfruttando i protocolli HTTP, UDP e TCP. Il primo exploit di RondoDox contro XWiki è stato rilevato il 3 novembre 2025, ma già nei mesi precedenti erano stati notati tentativi di attacco, in particolare per installare miner di criptovalute.

Altri attori e tecniche di attacco

Secondo i report di settore, tra fine ottobre e novembre 2025 si sono registrati picchi mai visti di tentativi di sfruttamento della vulnerabilità, segno della crescente attenzione da parte di numerosi attori malevoli che scansionano la rete in cerca di server XWiki non protetti. Oltre a RondoDox, altri gruppi criminali hanno sfruttato questa falla per installare miner di criptovalute, tentare la creazione di reverse shell e condurre attività di ricognizione attraverso template automatizzati come Nuclei per CVE-2025-24893.

L’allerta di CISA e le mitigazioni urgenti

L’urgenza di gestire e correggere tempestivamente le vulnerabilità è stata sottolineata anche dalla U.S. Cybersecurity and Infrastructure Security Agency (CISA), che ha incluso la falla nel suo catalogo delle vulnerabilità attivamente sfruttate, imponendo alle agenzie federali di implementare le mitigazioni entro il 20 novembre.

Lezioni apprese dal caso CVE-2025-24893

La storia di CVE-2025-24893 rappresenta un modello ormai ricorrente nel campo della sicurezza informatica: un attaccante si muove per primo e, nel giro di pochi giorni, diversi altri seguono, sfruttando la stessa vulnerabilità per diversi scopi malevoli, dalle botnet ai miner fino agli scanner opportunisti. Questo caso ribadisce l’importanza di un solido patch management e di una costante attenzione alle segnalazioni di sicurezza per prevenire compromissioni su larga scala.