9,8/10: EE. UU. exige actualizar XWiki de inmediato tras un brusco aumento de ataques

La reciente actividad en torno a la vulnerabilidad en XWiki muestra lo rápido que las fallas en plataformas populares se convierten en un vector para ataques a gran escala. La dinámica observada subraya que, tras las primeras intrusiones exitosas, se suman distintos grupos y la magnitud de la amenaza crece literalmente día a día.

La falla está relacionada con el error CVE-2025-24893 con una puntuación de 9.8 en la escala CVSS. Este defecto permite a un usuario invitado ejecutar código arbitrario de forma remota mediante una llamada a «/bin/get/Main/SolrSearch». Los desarrolladores cerraron la vulnerabilidad en las versiones XWiki 15.10.11, 16.4.1 y 16.5.0RC1 ya a finales de febrero de 2025. Sin embargo, parte de los servidores sigue funcionando con compilaciones antiguas, lo que abre la puerta al acceso no autorizado. En primavera aparecieron las primeras confirmaciones de explotación, y a finales de octubre el equipo VulnCheck informó sobre nuevas cadenas de ataque en las que la vulnerabilidad se usó para desplegar un minero de criptomonedas.

Posteriormente la agencia estadounidense CISA incluyó CVE-2025-24893 en el catálogo de vulnerabilidades explotadas activamente y obligó a las entidades federales a instalar las actualizaciones de seguridad antes del 20 de noviembre. En ese contexto VulnCheck registró de nuevo un fuerte aumento de actividad: el pico se produjo el 7 de noviembre y después hubo otro repunte el 11 de noviembre. Este comportamiento se explica por la ampliación del grupo de atacantes que, de forma paralela, escanean Internet en busca de objetivos accesibles.

Uno de los participantes en la carrera fue RondoDox, un botnet conocido por incorporar nuevas técnicas de intrusión para ampliar la red de dispositivos infectados. Desde finales de octubre aprovecha el fallo detectado en XWiki para incorporar servidores vulnerables a una infraestructura usada para ataques DDoS por HTTP, UDP y TCP. Los primeros intentos de aplicar este esquema se registraron el 3 de noviembre. Al mismo tiempo, otros grupos emplean la misma brecha para instalar mineros, establecer conexiones inversas y recopilar información de configuración, utilizando, entre otras, plantillas Nuclei para localizar objetivos adecuados.

La situación muestra lo rápido que una misma vulnerabilidad empieza a ser aprovechada por distintos atacantes. La investigación de VulnCheck subraya que, tras la primera intrusión exitosa, a la carrera se suman botnets, mineros y escáneres que actúan de forma independiente y paralela. En este contexto, mantener las versiones del software del servidor actualizadas sigue siendo la única forma fiable de reducir los riesgos.