-
09/04/2020
-
117
-
1.220 bài viết
Lỗ hổng RCE trong XWiki biến server nội bộ thành máy đào tiền ảo
Một lỗ hổng bảo mật trong XWiki vừa bị tin tặc lợi dụng để cài đặt phần mềm đào tiền điện tử (cryptominer) trên các máy chủ bị xâm nhập. Theo công ty tình báo lỗ hổng VulnCheck, cuộc tấn công đã diễn ra ngoài thực tế và được xác nhận là khai thác thực sự chứ không chỉ là thử nghiệm.
Lỗ hổng được định danh là CVE-2025-24893, cho phép kẻ tấn công không cần đăng nhập vẫn có thể chèn mã độc và thực thi lệnh tùy ý trên máy chủ XWiki, đạt mức nguy hiểm CVSS là 9,8.
Đây được xem là một trong những lỗ hổng nghiêm trọng nhất của XWiki trong năm 2025, đe dọa hàng nghìn hệ thống wiki nội bộ của doanh nghiệp, trường đại học và tổ chức chính phủ trên toàn thế giới. Cuộc tấn công được VulnCheck phát hiện thông qua hệ thống “Canary”, một mạng lưới mô phỏng các hệ thống dễ bị tấn công nhằm ghi nhận hành vi thực tế của tin tặc.
Trước đó, các tổ chức bảo mật như Cyble, Shadow Server và CrowdSec đã ghi nhận một số nỗ lực tấn công thử nghiệm, nhưng chỉ đến khi VulnCheck phân tích dữ liệu chi tiết, các chuyên gia mới xác nhận cuộc khai thác đã diễn ra hoàn chỉnh theo hai giai đoạn.
Đặc biệt, nguồn tấn công được truy vết đến một địa chỉ IP tại Việt Nam (123.25.249.88), từng bị báo cáo nhiều lần trên AbuseIPDB vì hoạt động độc hại.
Cuộc tấn công diễn ra theo hai bước cách nhau khoảng 20 phút, chiến thuật thường được dùng để né tránh các hệ thống phát hiện tự động.
Giai đoạn 1:
Tin tặc gửi yêu cầu GET đến điểm cuối SolrSearch của XWiki, trong đó chứa payload Groovy được mã hóa URL. Payload này thực hiện lệnh wget để tải một tệp có tên x640 từ máy chủ điều khiển (C2) tại 193.32.208.24:8080, lưu về thư mục /tmp/11909 trên máy chủ nạn nhân.
Để ngụy trang, lưu lượng này được gửi kèm User-Agent của trình duyệt Firefox, khiến các công cụ giám sát khó phát hiện.
Giai đoạn 2:
Sau khoảng 20 phút, tin tặc gửi yêu cầu tiếp theo, kích hoạt thực thi /tmp/11909 bằng bash.
Tập tin này tải thêm hai script khác (x521 và x522) và truyền trực tiếp vào bash để thực thi.
Lỗ hổng ảnh hưởng đến tất cả các phiên bản XWiki trước 15.10.6, bao gồm XWiki Enterprise và XWiki Standard. Do XWiki được sử dụng làm wiki nội bộ và nền tảng quản lý tri thức trong nhiều tổ chức, việc bị tấn công không chỉ gây hao hụt tài nguyên hệ thống (CPU, RAM) vì đào tiền ảo, mà còn mở cửa cho khả năng cài đặt mã độc khác hoặc đánh cắp dữ liệu.
Đáng chú ý, CISA vẫn chưa đưa lỗ hổng này vào danh sách KEV (Known Exploited Vulnerabilities), nghĩa là nhiều tổ chức vẫn chưa nhận được cảnh báo chính thức, dù việc khai thác đã diễn ra trên diện thực tế.
Đây là dạng lỗ hổng phổ biến nhưng đặc biệt nguy hiểm, vì nó cho phép thực thi mã trực tiếp trên máy chủ mà không cần đăng nhập.
Vụ việc lần này cũng phản ánh xu hướng tội phạm mạng khai thác các phần mềm mã nguồn mở phổ biến – nơi bản vá có thể tồn tại, nhưng nhiều quản trị viên chưa kịp cập nhật hoặc không biết mình đang sử dụng phiên bản dễ bị tấn công.
Để giảm thiểu nguy cơ bị khai thác lỗ hổng CVE-2025-24893, các chuyên gia đưa ra một số khuyến nghị cấp thiết:
Lỗ hổng được định danh là CVE-2025-24893, cho phép kẻ tấn công không cần đăng nhập vẫn có thể chèn mã độc và thực thi lệnh tùy ý trên máy chủ XWiki, đạt mức nguy hiểm CVSS là 9,8.
Đây được xem là một trong những lỗ hổng nghiêm trọng nhất của XWiki trong năm 2025, đe dọa hàng nghìn hệ thống wiki nội bộ của doanh nghiệp, trường đại học và tổ chức chính phủ trên toàn thế giới. Cuộc tấn công được VulnCheck phát hiện thông qua hệ thống “Canary”, một mạng lưới mô phỏng các hệ thống dễ bị tấn công nhằm ghi nhận hành vi thực tế của tin tặc.
Trước đó, các tổ chức bảo mật như Cyble, Shadow Server và CrowdSec đã ghi nhận một số nỗ lực tấn công thử nghiệm, nhưng chỉ đến khi VulnCheck phân tích dữ liệu chi tiết, các chuyên gia mới xác nhận cuộc khai thác đã diễn ra hoàn chỉnh theo hai giai đoạn.
Đặc biệt, nguồn tấn công được truy vết đến một địa chỉ IP tại Việt Nam (123.25.249.88), từng bị báo cáo nhiều lần trên AbuseIPDB vì hoạt động độc hại.
Cuộc tấn công diễn ra theo hai bước cách nhau khoảng 20 phút, chiến thuật thường được dùng để né tránh các hệ thống phát hiện tự động.
Giai đoạn 1:
Tin tặc gửi yêu cầu GET đến điểm cuối SolrSearch của XWiki, trong đó chứa payload Groovy được mã hóa URL. Payload này thực hiện lệnh wget để tải một tệp có tên x640 từ máy chủ điều khiển (C2) tại 193.32.208.24:8080, lưu về thư mục /tmp/11909 trên máy chủ nạn nhân.
Để ngụy trang, lưu lượng này được gửi kèm User-Agent của trình duyệt Firefox, khiến các công cụ giám sát khó phát hiện.
Giai đoạn 2:
Sau khoảng 20 phút, tin tặc gửi yêu cầu tiếp theo, kích hoạt thực thi /tmp/11909 bằng bash.
Tập tin này tải thêm hai script khác (x521 và x522) và truyền trực tiếp vào bash để thực thi.
- x521 tạo thư mục tạm, tải và chạy phần mềm đào tiền ảo tcrond, đặt quyền thực thi, cấu hình để tự khởi động cùng hệ thống.
- x522 dọn dẹp hệ thống, xóa log, diệt các phần mềm đào tiền ảo khác như xmrig và kinsing, rồi khởi chạy tcrond với cấu hình trỏ tới máy chủ khai thác auto.c3pool.org:80, phục vụ đào đồng Monero (XMR).
Lỗ hổng ảnh hưởng đến tất cả các phiên bản XWiki trước 15.10.6, bao gồm XWiki Enterprise và XWiki Standard. Do XWiki được sử dụng làm wiki nội bộ và nền tảng quản lý tri thức trong nhiều tổ chức, việc bị tấn công không chỉ gây hao hụt tài nguyên hệ thống (CPU, RAM) vì đào tiền ảo, mà còn mở cửa cho khả năng cài đặt mã độc khác hoặc đánh cắp dữ liệu.
Đáng chú ý, CISA vẫn chưa đưa lỗ hổng này vào danh sách KEV (Known Exploited Vulnerabilities), nghĩa là nhiều tổ chức vẫn chưa nhận được cảnh báo chính thức, dù việc khai thác đã diễn ra trên diện thực tế.
Nguyên nhân cốt lõi đến từ lỗi tiêm mẫu (Template Injection) trong endpoint SolrSearch của XWiki, cho phép kẻ tấn công chèn mã Groovy tùy ý.Đây là dạng lỗ hổng phổ biến nhưng đặc biệt nguy hiểm, vì nó cho phép thực thi mã trực tiếp trên máy chủ mà không cần đăng nhập.
Vụ việc lần này cũng phản ánh xu hướng tội phạm mạng khai thác các phần mềm mã nguồn mở phổ biến – nơi bản vá có thể tồn tại, nhưng nhiều quản trị viên chưa kịp cập nhật hoặc không biết mình đang sử dụng phiên bản dễ bị tấn công.
Để giảm thiểu nguy cơ bị khai thác lỗ hổng CVE-2025-24893, các chuyên gia đưa ra một số khuyến nghị cấp thiết:
- Cập nhật ngay XWiki lên phiên bản 15.10.6 hoặc mới hơn.
- Kiểm tra nhật ký truy cập (access logs) để tìm dấu hiệu truy cập bất thường vào endpoint /bin/view/Main/SolrSearch.
- Theo dõi lưu lượng mạng ra ngoài, đặc biệt là các yêu cầu wget hoặc curl đến 193.32.208.24 hoặc tên miền transfer.sh.
- Quét hệ thống để phát hiện các tệp khả nghi trong thư mục /tmp hoặc /var/tmp, đặc biệt là tcrond, x521, x522, x640.
- Cấu hình hạn chế quyền thực thi script Groovy nếu không cần thiết.