Administradores de sistemas que utilizam a plataforma de colaboração XWiki precisam de atenção imediata. Uma vulnerabilidade crítica de execução remota de código (RCE), rastreada como CVE-2025-24893, está sendo explorada ativamente na natureza, colocando servidores auto-hospedados em risco iminente. Relatórios recentes da empresa de inteligência de vulnerabilidades VulnCheck confirmam que múltiplos agentes maliciosos, incluindo os operadores da botnet RondoDox, estão aproveitando a falha para comprometer servidores. A CISA (Agência de Segurança Cibernética e de Informação dos EUA) já classificou a vulnerabilidade como explorada ativamente no final de outubro, reforçando a urgência de mitigação.
A gravidade da CVE-2025-24893 não deve ser subestimada. Servidores comprometidos podem ser completamente controlados por atacantes, que podem instalar backdoors, mineradores de criptomoedas ou outros malwares. Para profissionais de DevOps, SecOps e administradores de sistemas, a recomendação é clara: verificar suas instâncias de XWiki imediatamente e aplicar os patches de segurança mais recentes.
Este artigo detalha a natureza da vulnerabilidade, o modus operandi da botnet RondoDox e as medidas imediatas que devem ser adotadas para proteger servidores vulneráveis.
O que é a falha CVE-2025-24893?
O XWiki é uma plataforma wiki empresarial popular, de código aberto e baseada em Java, utilizada para gerenciamento de conhecimento e colaboração interna em empresas de diferentes portes. Por ser amplamente adotado, qualquer falha de segurança crítica pode ter impacto em larga escala.
A CVE-2025-24893 é uma falha de RCE que permite que um invasor injetar código Groovy malicioso através do endpoint SolrSearch do XWiki. Explorada corretamente, a vulnerabilidade permite a execução de comandos arbitrários no servidor, oferecendo ao atacante controle total da máquina. Isso significa que qualquer instância vulnerável pode ser completamente comprometida, incluindo a instalação de malware persistente ou a exfiltração de dados sensíveis.
A falha afeta principalmente as versões anteriores à 15.10.11 e 16.4.1, tornando estas instalações alvos prioritários para ataques automatizados.
RondoDox lidera os ataques de exploração
A RondoDox é uma botnet emergente e em rápido crescimento, documentada por empresas como Fortinet e Trend Micro em 2025. Ela é conhecida por visar múltiplas vulnerabilidades em servidores web e plataformas corporativas, incluindo instâncias de XWiki.
O ataque é realizado da seguinte forma, segundo observações da VulnCheck:
- A RondoDox envia uma requisição HTTP GET específica para o servidor vulnerável.
- Um payload Groovy codificado em base64 é injetado no endpoint SolrSearch.
- O servidor comprometido é forçado a baixar e executar um script de shell, geralmente nomeado como
rondo.<valor>.sh. - Este script funciona como um downloader de primeiro estágio, iniciando a instalação da carga útil principal da botnet.
Além da RondoDox, a falha também está sendo explorada por mineradores de criptomoedas e para estabelecer shells reversos, tornando qualquer servidor vulnerável um alvo de exploração imediata.
Ação imediata: como corrigir a falha no XWiki
A solução para a CVE-2025-24893 já foi disponibilizada pelos desenvolvedores do XWiki. Para mitigar os riscos, siga estas etapas:
- Identificar versões vulneráveis: todas as instâncias anteriores à 15.10.11 e 16.4.1 estão em risco.
- Atualizar imediatamente: aplique a versão mais recente do XWiki, garantindo que o patch de segurança para a CVE-2025-24893 seja aplicado.
- Verificar logs e atividade suspeita: após a atualização, monitore logs de acesso e eventos de sistema para identificar qualquer sinal de comprometimento prévio.
- Implementar práticas de segurança adicionais: restrição de acesso ao endpoint SolrSearch, firewall, monitoramento de rede e backups recentes ajudam a reduzir riscos futuros.
A atualização imediata é obrigatória, considerando que a exploração da vulnerabilidade ocorre de forma automatizada por agentes maliciosos.
Conclusão: não espere para ser o próximo alvo
A rápida adoção da falha por botnets como a RondoDox evidencia como a janela de tempo para aplicar patches de segurança é crítica. Servidores vulneráveis podem ser comprometidos em minutos, com consequências graves para dados corporativos e operação de sistemas.
Verifique suas instalações XWiki agora e aplique as atualizações recomendadas. Dado o status de exploração ativa, qualquer servidor vulnerável é um alvo em potencial. Não adie a ação: a segurança do seu ambiente depende de atualizações rápidas e monitoramento contínuo.
