В популярной опенсорсной вики-платформе XWiki обнаружены критические уязвимости, позволяющие злоумышленникам без авторизации получить доступ к корпоративным данным, похитить учётные записи сотрудников и развернуть вредоносное ПО — под угрозой более 500 000 инсталляций по всему миру.
Что такое XWiki и почему это важно
XWiki — это широко используемая опенсорсная платформа для корпоративных wiki и управления знаниями. Её применяют тысячи компаний и государственных организаций по всему миру для хранения внутренней документации, регламентов, баз знаний и данных о сотрудниках. Именно популярность платформы делает найденные уязвимости особенно опасными: масштаб потенциального ущерба огромен.
Какие уязвимости были найдены
Исследователи зафиксировали несколько критических CVE с оценкой по шкале CVSS от 9.8 до 10.0 — то есть максимально опасных:
- CVE-2025-24893 — удалённое выполнение кода (RCE) в компоненте SolrSearch через eval-инъекцию по RSS-каналу. Атака возможна без какой-либо аутентификации: злоумышленнику достаточно отправить специально сформированную ссылку.
- CVE-2024-31982 — ещё одна RCE-уязвимость в компоненте DatabaseSearch, также эксплуатируемая без авторизации.
- CVE-2025-32969 — SQL-инъекция в REST API, позволяющая выгружать содержимое базы данных платформы: профили пользователей, пароли, корпоративные документы.
Все три уязвимости объединяет одно: для их эксплуатации не требуется учётная запись. Достаточно иметь доступ к сети, в которой работает XWiki.
Реальные атаки уже идут: ботнет RondoDox
Уязвимости не просто задокументированы — они активно эксплуатируются. В 2025 году был зафиксирован ботнет RondoDox, который атаковал непропатченные инсталляции XWiki в промышленных масштабах. Схема атаки выглядит следующим образом:
- Злоумышленник использует RCE-уязвимость для получения доступа к серверу.
- На сервер загружается вредоносный скрипт (типичный путь —
/tmp/rondo.sh). - Устанавливается криптомайнер XMRig для добычи Monero.
- Параллельно происходит эксфильтрация данных — по данным аналитиков, в ряде случаев было похищено более 123 ГБ корпоративной информации.
Среднее время присутствия злоумышленника в скомпрометированной системе до обнаружения составило более 45 дней. За это время атакующие успевали не только майнить криптовалюту, но и собирать учётные данные сотрудников для последующей продажи или использования в других атаках. Под удар попали более 3400 серверов по всему миру.
Германия, США и Россия: почему эти страны в зоне риска
Уязвимости затрагивают организации по всему миру, однако три страны выделяются особо.
США: Агентство по кибербезопасности и защите инфраструктуры CISA включило CVE-2025-24893 в свой каталог известных эксплуатируемых уязвимостей (KEV) в ноябре 2025 года. Федеральным агентствам было предписано в обязательном порядке установить патчи. Это сигнал о реальной угрозе для американской инфраструктуры.
Германия: Центр кибербезопасности земли Баден-Вюртемберг (CSBW) и федеральное ведомство BSI выпустили официальные предупреждения об активной эксплуатации уязвимостей XWiki на территории страны. Немецкие организации, использующие платформу на серверах под управлением Linux, UNIX и Windows, признаны уязвимыми.
Россия: Прямых атрибуций атак на российские организации со стороны RondoDox публично не зафиксировано, однако XWiki широко используется в российском корпоративном секторе. Глобальный характер ботнета и отсутствие патчей у многих пользователей платформы ставят российские компании в один ряд с пострадавшими.
Что грозит бизнесу при успешной атаке
Последствия успешной эксплуатации уязвимостей XWiki выходят далеко за рамки майнинга криптовалюты. В зависимости от целей атакующих компания может столкнуться с:
- Утечкой паролей и персональных данных сотрудников;
- Кражей конфиденциальных корпоративных документов и интеллектуальной собственности;
- Развёртыванием программ-вымогателей (ransomware) с последующим шифрованием данных;
- Использованием скомпрометированного сервера как плацдарма для атак на другие системы (lateral movement);
- Шпионажем со стороны APT-группировок, заинтересованных в корпоративных тайнах.
Как защититься: конкретные шаги
Специалисты по безопасности выработали чёткий список действий для организаций, использующих XWiki:
- Обновить платформу до версии 17.10.2 и выше — в этой версии закрыты все три ключевые уязвимости.
- Отключить гостевой доступ к платформе, если он не является обязательным.
- Отключить или ограничить компоненты SolrSearch и DatabaseSearch до момента применения патча.
- Проверить логи сервера на наличие индикаторов компрометации: обращений к
rondo.sh, запуска XMRig, подозрительного трафика на порты 3333 и 4444. - Провести аудит учётных записей на предмет несанкционированных изменений прав доступа.
Вывод
История с XWiki — наглядный пример того, как популярное и внешне безобидное корпоративное ПО становится вектором серьёзных кибератак. Опенсорсный статус платформы не гарантирует безопасности: уязвимости есть в любом сложном программном продукте. Главное — своевременно их устранять. Организациям, использующим XWiki, необходимо провести аудит прямо сейчас: промедление может обернуться утечкой данных, простоем инфраструктуры или многомесячным незамеченным присутствием злоумышленников в корпоративной сети.