16 Nov
Les botnets continuent de représenter une menace croissante pour les infrastructures numériques dans le monde entier. Récemment, un nouveau malware, connu sous le nom de RondoDox, a ciblé les systèmes XWiki non corrigés, exploitant une vulnérabilité critique connue sous le nom de CVE-2025-24893. Cette faille de sécurité, qui a une note CVSS de 9,8, permet à des attaquants d’exécuter un code arbitraire à distance.
Qu’est-ce que RondoDox ?
RondoDox est une forme avancée de malware botnet qui utilise des stratégies sophistiquées pour compromettre des systèmes vulnérables. Identifié pour la première fois comme une menace active en octobre 2025, il exploite la vulnérabilité CVE-2025-24893 pour infiltrer des systèmes XWiki qui n’ont pas été mis à jour avec les derniers correctifs de sécurité. Les chercheurs ont observé que RondoDox intègre des dispositifs infectés dans son réseau, le transformant en une machine capable de mener des attaques de déni de service distribué (DDoS) via les protocoles HTTP, UDP et TCP.
Comprendre la vulnérabilité CVE-2025-24893
La CVE-2025-24893 est une vulnérabilité d’injection d’évaluation identifiée dans les systèmes XWiki. Elle permet à tout utilisateur invité d’exécuter un code arbitraire à distance en envoyant une requête spécifique au point de terminaison “/bin/get/Main/SolrSearch”. Cette faille a été corrigée en février 2025 avec les versions XWiki 15.10.11, 16.4.1 et 16.5.0RC1. Cependant, malgré les efforts des développeurs pour corriger cette lacune, de nombreux systèmes restent encore exposés.
Une exploitation active et croissante
Depuis mars 2025, des preuves d’exploitation active de CVE-2025-24893 ont été enregistrées. Initialement utilisée pour installer des mineurs de cryptomonnaie dans le cadre d’attaques en deux étapes, cette faille est maintenant exploitée par plusieurs groupes d’acteurs malveillants, y compris ceux responsables du botnet RondoDox. Les chercheurs de VulnCheck ont constaté une augmentation des activités d’exploitation début novembre, marquées par deux pics significatifs les 7 et 11 novembre.
Impact sur les organisations
L’impact de cette vulnérabilité est très préoccupant. Non seulement les systèmes compromis deviennent vulnérables à près de toute forme d’abus, y compris le vol de données et les attaques DDoS, mais ils peuvent également être utilisés comme tremplins pour compromettre davantage d’organisations interconnectées. Les botnets comme RondoDox ne se limitent pas à une seule infection : ils exploitent ensuite ces nouveaux vecteurs pour étendre leur portée.
Solutions et mesures pour éviter les attaques
Pour se protéger contre ces menaces, il est impératif que les organisations adoptent une gestion robuste des correctifs. Des mesures telles que :
- Mettre à jour immédiatement les systèmes XWiki vers les versions corrigées (15.10.11, 16.4.1 ou 16.5.0RC1).
- Déployer des solutions de surveillance des vulnérabilités pour détecter les menaces en amont.
- Limiter les permissions des utilisateurs invités et désactiver les fonctionnalités non utilisées.
Le rôle crucial de la sensibilisation
En plus des solutions techniques, la sensibilisation des équipes opérationnelles reste vitale. Éduquer les employés et les administrateurs sur l’importance de maintenir les correctifs à jour et de se méfier des indices d’attaques est une composante clé d’une stratégie de sécurité efficace.
Conclusion
Le botnet RondoDox rappelle à tout le monde la nécessité de rester vigilant dans un paysage de menaces en constante évolution. La vulnérabilité CVE-2025-24893 montre comment une simple faille peut devenir un vecteur massif d’attaques pour des acteurs malveillants sophistiqués. Chez Lynx Intel, nous nous spécialisons dans l’identification des failles et la mise en œuvre de solutions sur mesure pour protéger les entreprises contre de telles menaces. N’attendez pas qu’il soit trop tard : mettez à jour vos systèmes et sécurisez vos données dès aujourd’hui.
