🛡 概要
RondoDoxボットネットが、XWiki Platform の重大なリモートコード実行(RCE)脆弱性「CVE-2025-24893」を実際の攻撃で悪用しています。本件は米CISAが10月30日に「現実世界で悪用中」と明示し、脆弱性インテリジェンス各社の観測でも複数アクター(ボットネット運用者や暗号通貨マイナー)が悪用を開始しています。影響バージョンは15.10.11および16.4.1より前で、直ちにアップグレードすることが推奨されます。CVSSは公表情報の範囲では未記載です(執筆時点)。
🔍 技術詳細
VulnCheckの観測によれば、攻撃者はXWikiのSolrSearch関連エンドポイントに対し、細工したHTTP GETリクエストを投げ、Base64でエンコードしたGroovyコードを注入します。これによりサーバ側でコードが実行され、遠隔にホストされたシェル系ペイロードを取得・実行する挙動が確認されています。ダウンロードされる初期スクリプト(例:rondo.<値>.sh)は、第一段階のダウンローダとして機能し、最終的にRondoDox本体を取得・実行します。10月末から11月にかけて、同脆弱性を足がかりにした暗号通貨マイナーの展開や、bashリバースシェル確立の試行も観測されています。また、Nucleiによる広範なスキャンが記録されており、XWikiのSolrSearchへのGroovyインジェクションで「cat /etc/passwd」を実行し得るかを試すペイロード、ならびにOAST(Out-of-band Application Security Testing)を用いた外部インタラクション検証が行われています。さらに、RondoDoxに紐づくユーザーエージェントや既知のペイロード配信サーバと一致する通信が確認されており、公開済みのIoCを適用することで初期段階のブロックが可能です。影響範囲はXWiki(Javaベースのオープンソース企業向けWiki)をインターネット公開している組織で特に顕著で、バージョン15.10.11/16.4.1未満が標的となります。
⚠ 影響
リモートから任意コード実行が可能なため、Webサーバ乗っ取り、暗号資産マイニング、ボットネットへの編入、追加マルウェアの投下、横展開の足掛かり、サービス停止、機密情報の漏えいなど多面的な被害につながります。初回悪用から短期間で複数アクターが追随しており、露出の高い自社ホスト型XWikiは特に高リスクです。
🛠 対策
– 直ちにXWikiを15.10.11または16.4.1以降へ更新(LTS/安定版方針に従った計画的リリース適用)。
– WAF/リバースプロキシで仮想パッチ:SolrSearch関連への不審なクエリ、Base64長大パラメータ、Groovy構文や「/bin/sh」「curl」「wget」呼び出しをブロック。
– XWikiのスクリプト権限・拡張権限を最小化(信頼済みユーザのみに付与)。
– サーバのアウトバウンドを最小権限化(HTTP/HTTPSの宛先制限、DNS監視)。
– 侵害時の初動:/tmp配下などのrondo.*ファイル、cron/systemdの改変、java→sh→curl/wgetのプロセスチェーン、未知の永続化を確認。IoCで外部通信を遮断し、証跡保全のうえ再構築を検討。
– バックアップ整備と復元テスト、管理者認証情報のローテーション。
📌 SOC視点
– Web/アプリログ:アクセスログ(長大なクエリ、Base64/「groovy」文字列、SolrSearch宛て)、アプリ(XWiki/Tomcat)ログのスタックトレースや実行時エラー。
– プロセス監視:java/tomcatからの子プロセスでsh/bash、curl/wget、nc、bash -i等の生成。
– ファイル/永続化:/tmpや/var/tmpへのrondo.*作成、crontab/systemdの新規エントリ。
– ネットワーク:既知のRondoDox配信サーバやC2へのOutbound、OASTドメインへのDNS解決。
– 検索例:cat /etc/passwd 実行痕、Nuclei特有のUser-Agent。時間相関でWAF/EDR/ネットフローを突合。
📈 MITRE ATT&CK
– TA0001 初期侵入 / T1190 公開向けアプリケーションの脆弱性悪用:XWikiのRCEを用いた初期アクセス。
– TA0002 実行 / T1059 コマンド/スクリプトインタプリタ(T1059.004 Bash):Groovy経由でシェルを呼び出し、スクリプトを実行。
– TA0011 C2 / T1105 外部からのツール転送:リモートからペイロードやスクリプトを取得。
– TA0042 影響 / T1496 リソースハイジャック:暗号通貨マイニングの展開。
– TA0043 偵察 / T1595 アクティブスキャン(T1595.002 脆弱性スキャン):NucleiやOASTによる外部からの探索。
🏢 組織規模別助言
– 小規模(〜50名):即時パッチとWAFルール適用。外部公開XWikiは一時的にIP許可制へ。マネージドEDRの導入/監視委託を検討。
– 中規模(50〜500名):ステージングで検証後に速やかに本番更新。eBPF/EDRでjava→bash連鎖を検知。Egress制御と脅威インテリジェンス(IoC)自動適用を運用に組み込む。
– 大規模(500名以上):脆弱性管理SLAの強化(KEV登録は48時間以内対応)。WAF仮想パッチの標準手順化、SOARで検知〜封じ込めを自動化。定期Red Teamで公開アプリのRCE耐性を検証。
🔎 類似事例
– Atlassian Confluence OGNL RCE(CVE-2021-26084、CVE-2022-26134):ボットネット/マイナーに広く悪用。
– Apache ActiveMQ RCE(CVE-2023-46604):シェル取得とマイニング展開の事例。
– PHP CGI引数インジェクション(CVE-2024-4577):公開Webに対する大量スキャンと自動悪用。
いずれも公開アプリのRCEが短期間で大規模悪用へ拡大した点で共通します。
🧭 次の一手
1) 直ちにXWikiを15.10.11/16.4.1以降へ更新し、WAF仮想パッチを適用。2) ここ7〜14日のWeb/アプリ/EDR/ネットワークログをIOCで遡及検索し、感染痕跡の有無を判定。3) 侵害が疑われる場合は隔離・証跡保全・再構築計画を実行。4) 継続対策として、公開アプリ向けのパッチSLA、Egress最小化、IaCでの安全設定の標準化を進めてください。
