في تطور مقلق لمشهد التهديدات الإلكترونية، كشفت تقارير أمنية عن حملة نشطة تستغل ثغرة أمنية حرجة في نظام إدارة المحتوى XWiki لنشر برمجية البوت نت المعروفة باسم RondoDox. تستهدف هذه الهجمات الخوادم التي لم تقم بتثبيت التحديثات الأمنية اللازمة، مما يسمح للمهاجمين بتنفيذ شفرات خبيثة عن بُعد وإضافة المزيد من الأجهزة إلى شبكاتهم الخبيثة.
ثغرة CVE-2025-24893: البوابة الملكة لتنفيذ الأوامر عن بُعد
في قلب هذه الهجمات تكمن ثغرة CVE-2025-24893 التي تحصل على تقييم 9.8 من 10 على مقياس CVSS، مما يجعلها ثغرة بالغة الخطورة. تعتبر هذه الثغرة من نوع “حقن التقييم” (Eval Injection) وتسمح لأي مستخدم ضيف بتنفيذ أوامر عن بُعد بشكل تعسفي من خلال طلب بسيط إلى نقطة النهاية “/bin/get/Main/SolrSearch”. قام مطورو XWiki بإصدار تصحيحات أمنية في إصدارات 15.10.11 و16.4.1 و16.5.0RC1 في نهاية فبراير 2025، لكن العديد من الخوادم لا تزال غير مُحدَّثة ومعرضة للخطر.
تصاعد الهجمات: من تعدين العملات إلى شبكات البوت نت
بينما ظهرت أدلة على استغلال هذه الثغرة منذ مارس الماضي، شهدت الفترة الأخيرة تصاعداً ملحوظاً في وتيرة الهجمات. كشفت شركة VulnCheck للأمن السيبراني عن محاولات هجومية جديدة تستغل هذه الثغرة كجزء من سلسلة هجوم متعددة المراحل لنشر برمجيات تعدين العملات المشفرة. كما أضافت وكالة الأمن السيبراني الأمريكية (CISA) الثغرة إلى قائمة الثغرات المستغلة، مطالبة الوكالات الفيدرالية بتطبيق التصحيحات اللازمة قبل 20 نوفمبر.
برمجية RondoDox: تهديد متعدد الأوجه يتوسع بسرعة
تمثل برمجية RondoDox الخبيثة تهديداً متطوراً يستمر في إضافة نواقل استغلال جديدة لضم المزيد من الأجهزة إلى شبكة البوت نت. صُممت هذه البرمجية خصيصاً لتنفيذ هجمات حجب الخدمة الموزعة باستخدام بروتوكولات HTTP وUDP وTCP. تم رصد أول استغلال لثغرة XWiki من قبل برمجية RondoDox في 3 نوفمبر 2025، مما يشير إلى تبني سريع للتكتيكات الجديدة من قبل مجرمي الإنترنت.
مشهد التهديدات المتوسع: متعددة الأهداف والاستغلالات
لا تقتصر الهجمات على برمجية RondoDox فحسب، بل شملت أيضاً أنشطة متنوعة مثل نشر برمجيات تعدين العملات المشفرة، ومحاولات إنشاء جلسات shell عكسية للتحكم عن بُعد، بالإضافة إلى أنشطة المسح الاستكشافي باستخدام قوالب Nuclei المصممة خصيصاً لاستغلال الثغرة. سجلت محاولات الاستغلال ذروتين واضحتين في 7 نوفمبر و11 نوفمبر، مما يشير إلى مشاركة متعددة لفاعلين التهديد في استغلال هذه الثغرة.
