Уязвимости в XWiki: как опенсорсная платформа стала угрозой для компаний в Германии, США и России

В популярной опенсорсной вики-платформе XWiki обнаружены критические уязвимости, позволяющие злоумышленникам без авторизации получить доступ к корпоративным данным, похитить учётные записи сотрудников и развернуть вредоносное ПО — под угрозой более 500 000 инсталляций по всему миру.

Что такое XWiki и почему это важно

XWiki — это широко используемая опенсорсная платформа для корпоративных wiki и управления знаниями. Её применяют тысячи компаний и государственных организаций по всему миру для хранения внутренней документации, регламентов, баз знаний и данных о сотрудниках. Именно популярность платформы делает найденные уязвимости особенно опасными: масштаб потенциального ущерба огромен.

Какие уязвимости были найдены

Исследователи зафиксировали несколько критических CVE с оценкой по шкале CVSS от 9.8 до 10.0 — то есть максимально опасных:

  • CVE-2025-24893 — удалённое выполнение кода (RCE) в компоненте SolrSearch через eval-инъекцию по RSS-каналу. Атака возможна без какой-либо аутентификации: злоумышленнику достаточно отправить специально сформированную ссылку.
  • CVE-2024-31982 — ещё одна RCE-уязвимость в компоненте DatabaseSearch, также эксплуатируемая без авторизации.
  • CVE-2025-32969 — SQL-инъекция в REST API, позволяющая выгружать содержимое базы данных платформы: профили пользователей, пароли, корпоративные документы.

Все три уязвимости объединяет одно: для их эксплуатации не требуется учётная запись. Достаточно иметь доступ к сети, в которой работает XWiki.

Реальные атаки уже идут: ботнет RondoDox

Уязвимости не просто задокументированы — они активно эксплуатируются. В 2025 году был зафиксирован ботнет RondoDox, который атаковал непропатченные инсталляции XWiki в промышленных масштабах. Схема атаки выглядит следующим образом:

  1. Злоумышленник использует RCE-уязвимость для получения доступа к серверу.
  2. На сервер загружается вредоносный скрипт (типичный путь — /tmp/rondo.sh).
  3. Устанавливается криптомайнер XMRig для добычи Monero.
  4. Параллельно происходит эксфильтрация данных — по данным аналитиков, в ряде случаев было похищено более 123 ГБ корпоративной информации.

Среднее время присутствия злоумышленника в скомпрометированной системе до обнаружения составило более 45 дней. За это время атакующие успевали не только майнить криптовалюту, но и собирать учётные данные сотрудников для последующей продажи или использования в других атаках. Под удар попали более 3400 серверов по всему миру.

Германия, США и Россия: почему эти страны в зоне риска

Уязвимости затрагивают организации по всему миру, однако три страны выделяются особо.

США: Агентство по кибербезопасности и защите инфраструктуры CISA включило CVE-2025-24893 в свой каталог известных эксплуатируемых уязвимостей (KEV) в ноябре 2025 года. Федеральным агентствам было предписано в обязательном порядке установить патчи. Это сигнал о реальной угрозе для американской инфраструктуры.

Германия: Центр кибербезопасности земли Баден-Вюртемберг (CSBW) и федеральное ведомство BSI выпустили официальные предупреждения об активной эксплуатации уязвимостей XWiki на территории страны. Немецкие организации, использующие платформу на серверах под управлением Linux, UNIX и Windows, признаны уязвимыми.

Россия: Прямых атрибуций атак на российские организации со стороны RondoDox публично не зафиксировано, однако XWiki широко используется в российском корпоративном секторе. Глобальный характер ботнета и отсутствие патчей у многих пользователей платформы ставят российские компании в один ряд с пострадавшими.

Что грозит бизнесу при успешной атаке

Последствия успешной эксплуатации уязвимостей XWiki выходят далеко за рамки майнинга криптовалюты. В зависимости от целей атакующих компания может столкнуться с:

  • Утечкой паролей и персональных данных сотрудников;
  • Кражей конфиденциальных корпоративных документов и интеллектуальной собственности;
  • Развёртыванием программ-вымогателей (ransomware) с последующим шифрованием данных;
  • Использованием скомпрометированного сервера как плацдарма для атак на другие системы (lateral movement);
  • Шпионажем со стороны APT-группировок, заинтересованных в корпоративных тайнах.

Как защититься: конкретные шаги

Специалисты по безопасности выработали чёткий список действий для организаций, использующих XWiki:

  • Обновить платформу до версии 17.10.2 и выше — в этой версии закрыты все три ключевые уязвимости.
  • Отключить гостевой доступ к платформе, если он не является обязательным.
  • Отключить или ограничить компоненты SolrSearch и DatabaseSearch до момента применения патча.
  • Проверить логи сервера на наличие индикаторов компрометации: обращений к rondo.sh, запуска XMRig, подозрительного трафика на порты 3333 и 4444.
  • Провести аудит учётных записей на предмет несанкционированных изменений прав доступа.

Вывод

История с XWiki — наглядный пример того, как популярное и внешне безобидное корпоративное ПО становится вектором серьёзных кибератак. Опенсорсный статус платформы не гарантирует безопасности: уязвимости есть в любом сложном программном продукте. Главное — своевременно их устранять. Организациям, использующим XWiki, необходимо провести аудит прямо сейчас: промедление может обернуться утечкой данных, простоем инфраструктуры или многомесячным незамеченным присутствием злоумышленников в корпоративной сети.

Фото аватара

Платон Щукин

SEO

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *