Ataques exploram vulnerabilidade RCE do XWiki para minerar criptomoedas

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma vulnerabilidade de execução remota de código (RCE) não autenticada no XWiki, identificada como CVE-2025-24893, está sendo ativamente explorada por atacantes para implantar malware de mineração de criptomoedas. Essa falha, que permite a injeção de templates, possibilita a execução de código arbitrário em sistemas vulneráveis sem necessidade de autenticação, representando uma ameaça significativa para organizações que utilizam versões não corrigidas do XWiki.

A análise da VulnCheck revelou uma cadeia de ataque sofisticada em duas etapas, onde os atacantes inicialmente enviam uma solicitação GET maliciosa para um endpoint específico, que baixa um arquivo malicioso para o diretório /tmp do sistema alvo. O primeiro estágio do downloader, denominado x640, puxa scripts adicionais que estabelecem operações de mineração de criptomoedas. O segundo estágio prepara o ambiente do sistema e inicia um minerador de Monero, demonstrando práticas avançadas de segurança operacional para evitar detecções.

Apesar da exploração ativa em 2025, essa vulnerabilidade não está listada no catálogo de vulnerabilidades conhecidas exploradas da CISA, evidenciando uma lacuna crítica no rastreamento oficial de vulnerabilidades e a importância de fontes de inteligência de ameaças de terceiros.

Fonte: https://cyberpress.org/xwiki-rce-vulnerability/

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
29/10/2025 • Risco: CRITICO
VULNERABILIDADE

Ataques exploram vulnerabilidade RCE do XWiki para minerar criptomoedas

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-24893 no XWiki permite a execução remota de código sem autenticação, resultando na instalação de malware de mineração. A exploração ativa requer atenção imediata das organizações para evitar compromissos de segurança e impactos financeiros significativos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos associados à recuperação de sistemas comprometidos e perda de dados.
Operacional
Implantação de malware de mineração de criptomoedas em sistemas vulneráveis.
Setores vulneráveis
['Tecnologia da Informação', 'Educação', 'Setores que utilizam XWiki']

📊 INDICADORES CHAVE

CVSS Score de 9.8 para a vulnerabilidade. Indicador
Cadeia de ataque em duas etapas observada. Contexto BR
Malware de mineração de criptomoedas identificado como tcrond. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se há instâncias do XWiki em uso e se estão atualizadas.
2 Aplicar patches de segurança disponíveis e implementar segmentação de rede.
3 Monitorar tráfego de rede para os IPs identificados e atividades suspeitas nos sistemas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração ativa de uma vulnerabilidade crítica que pode comprometer a segurança de dados e operações.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).