サイバーニュース.jp

世界のサイバーなニュースを配信

XWikiのRCE脆弱性がコインマイニングに悪用される

カテゴリ:

XWikiのRCE脆弱性がコインマイニングに悪用される

XWikiコラボレーションソフトウェアにおける重大なリモートコード実行(RCE)脆弱性が、脅威アクターによって積極的に悪用され、脆弱なシステムに仮想通貨マイニングマルウェアが展開されていることが判明しました。この脆弱性はCVE-2025-24893として追跡されており、パッチが適用されていないXWikiインストールを実行している組織にとって深刻な脅威となっています。

脆弱性の詳細

この脆弱性は、認証を必要としないリモートテンプレートインジェクションのタイプであり、XWikiのSolrSearchエンドポイントを介して悪用されます。詳細は以下の通りです。

  • CVE ID: CVE-2025-24893
  • 脆弱性タイプ: 認証不要のリモートテンプレートインジェクション
  • 影響を受ける製品: XWiki
  • 深刻度: 重大

攻撃の手口

攻撃はベトナムを拠点とする脅威アクターによって実行され、洗練された2段階の攻撃手法が用いられています。攻撃は、ハッカーがURLエンコードされたパラメータを使用して細工されたリクエストを脆弱なSolrSearchエンドポイントに送信し、リモートコマンドを実行することから始まります。

最初の段階では、コマンド&コントロールサーバー(IPアドレス 193.32.208.24)から小さなbashスクリプトがダウンロードされ、転送サービスtransfer.shを介して悪意のあるペイロードがホストされます。このダウンローダーは、侵害されたシステムの/tmpディレクトリに保存されます。

約20分後、攻撃者は2回目のリクエストでステージングされたダウンローダーを実行し、完全な感染チェーンを開始します。ダウンロードされたスクリプトは、永続性を確立し、マイニング操作を展開するために連携する2つの追加ペイロードを直ちにフェッチします。

マルウェアの挙動と回避策

展開されるマルウェアは、tcrondと呼ばれる仮想通貨マイナーを隠しディレクトリにインストールします。もう1つのスクリプトは、競合するマイナーを終了させ、c3pool.orgマイニングプールに接続するように構成された悪意のあるマイニングソフトウェアを起動します。

このマイニングマルウェアは、検出を回避するためにUPXでパックされており、いくつかのアンチ分析技術を採用しています。一度アクティブ化されると、システム上の他の仮想通貨マイニングプロセスを停止させ、コマンド履歴を削除し、bash履歴のログ記録を無効にして痕跡を隠蔽しようとします。

セキュリティ研究者は、主要な攻撃インフラがIPアドレス 123.25.249.88にあることを特定しており、このIPアドレスはAbuseIPDBで悪意のある活動について複数の報告があります。

CISA KEVとの乖離と推奨事項

実世界での悪用が確認されているにもかかわらず、CVE-2025-24893はCISAの既知の悪用された脆弱性(KEV)カタログには掲載されていません。これは、実際の攻撃と公式な認識との間に懸念すべきギャップがあることを示しています。しかし、VulnCheckは、Cyble、Shadow Server、CrowdSecを含む複数のセキュリティ組織がエクスプロイトの試みを報告した後、2025年3月にこの脆弱性を独自のKEVデータベースに追加しました。

XWikiを実行している組織は、直ちにパッチが適用されたバージョンに更新し、システムを侵害の兆候がないか監視する必要があります。ネットワーク管理者は、特定された悪意のあるIPアドレスとの通信をブロックし、このキャンペーンに関連する特定のファイルハッシュを検索する必要があります。この脆弱性は、リモートからの悪用が可能であり、認証が不要であるため、インターネットに公開されているXWikiインストールにとって特に危険です。

元記事: https://gbhackers.com/xwiki-remote-code-execution-flaw/

投稿をさらに読み込む