RondoDox บอทเน็ตตัวร้าย! เล็งโจมตีช่องโหว่ XWiki ที่ยังไม่ได้รับการอัปเดต ดึงอุปกรณ์เข้าเครือข่ายเพิ่ม!
มัลแวร์บอทเน็ตที่รู้จักกันในชื่อ RondoDox ถูกตรวจพบว่ากำลังพุ่งเป้าโจมตีเซิร์ฟเวอร์ XWiki ที่ยังไม่ได้ทำการอัปเดตแพตช์ เพื่อใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยร้ายแรง ซึ่งอาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดได้ตามอำเภอใจ
ช่องโหว่ตัวตึงที่ถูกใช้เป็นอาวุธ
ช่องโหว่ที่กำลังเป็นประเด็นนี้คือ CVE-2025-24893 ซึ่งมีคะแนนความรุนแรง (CVSS Score) สูงถึง 9.8! มันเป็นช่องโหว่ประเภท "eval injection bug" ที่ทำให้ผู้ใช้ที่เป็นเพียง แขก (Guest User) ก็สามารถสั่งการให้รันโค้ดจากระยะไกล (Arbitrary Remote Code Execution) ได้ง่าย ๆ เพียงแค่ส่งคำขอไปยังปลายทาง "/bin/get/Main/SolrSearch" เท่านั้น
- ช่องโหว่นี้ได้รับการแก้ไขโดยผู้ดูแล XWiki ในเวอร์ชัน 15.10.11, 16.4.1, และ 16.5.0RC1 ตั้งแต่ปลายเดือนกุมภาพันธ์ 2568
- แม้จะมีหลักฐานว่าช่องโหว่นี้ถูกโจมตีในวงกว้างมาตั้งแต่เดือนมีนาคม แต่เพิ่งจะมาเป็นที่สนใจอีกครั้งเมื่อปลายเดือนตุลาคมที่ผ่านมา เมื่อ VulnCheck เปิดเผยว่ามีการใช้ช่องโหว่นี้ในการโจมตีแบบ 2 ขั้นตอน เพื่อติดตั้งมัลแวร์ขุดเหรียญคริปโต (Cryptocurrency Miner)
- ด้วยความรุนแรงนี้เอง ทำให้สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ต้องเพิ่มช่องโหว่นี้เข้าไปในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) และกำหนดให้หน่วยงานของรัฐบาลกลางต้องดำเนินการแก้ไขภายในวันที่ 20 พฤศจิกายนนี้
บอทเน็ต RondoDox ฉวยโอกาส พุ่งเป้าโจมตีสูงขึ้น
รายงานล่าสุดที่เผยแพร่เมื่อวันศุกร์โดย VulnCheck เปิดเผยว่า พวกเขาพบความพยายามในการโจมตีช่องโหว่ดังกล่าวเพิ่มขึ้นอย่างรวดเร็ว โดยทำสถิติสูงสุดเมื่อวันที่ 7 พฤศจิกายน และมีการพุ่งขึ้นอีกครั้งในวันที่ 11 พฤศจิกายน ซึ่งบ่งชี้ถึงกิจกรรมการสแกนในวงกว้างขึ้นอย่างเห็นได้ชัด และน่าจะมาจากผู้ไม่หวังดีหลายกลุ่ม
หนึ่งในนั้นคือ RondoDox บอทเน็ตที่กำลังขยายเครือข่ายอย่างรวดเร็ว ด้วยการเพิ่มช่องทางการโจมตีใหม่ ๆ เพื่อดึงเอาอุปกรณ์ที่อ่อนแอเข้าสู่เครือข่ายบอทเน็ตของตน โดยมีเป้าหมายหลักในการใช้โจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ผ่านโปรโตคอล HTTP, UDP, และ TCP
- ตามข้อมูลของบริษัทความปลอดภัยทางไซเบอร์ RondoDox ถูกตรวจพบว่าเริ่มใช้ช่องโหว่นี้โจมตีครั้งแรกเมื่อวันที่ 3 พฤศจิกายน 2568
ไม่ได้มีแค่ RondoDox เท่านั้น!
นอกจาก RondoDox แล้ว ยังมีการโจมตีอื่น ๆ ที่ใช้ช่องโหว่นี้เพื่อส่งมัลแวร์ขุดเหรียญคริปโต, ความพยายามในการสร้าง Reverse Shell (ช่องทางควบคุมจากระยะไกล), รวมถึงกิจกรรมการสำรวจทั่วไปโดยใช้เครื่องมือ Nuclei template สำหรับช่องโหว่ CVE-2025-24893
"CVE-2025-24893 เป็นเรื่องที่คุ้นเคย: ผู้โจมตีคนหนึ่งเริ่มเคลื่อนไหว และอีกมากมายก็ทำตาม" Jacob Baines จาก VulnCheck กล่าว "ภายในไม่กี่วันของการโจมตีครั้งแรก เราก็เห็นทั้งบอทเน็ต, มัลแวร์ขุดเหมือง, และเครื่องสแกนฉวยโอกาส ต่างก็ใช้ประโยชน์จากช่องโหว่เดียวกันนี้"
นี่เป็นอีกครั้งที่เน้นย้ำถึงความจำเป็นเร่งด่วนในการจัดการอัปเดตแพตช์ (Patch Management) อย่างแข็งขัน เพื่อให้มั่นใจว่าระบบจะได้รับการป้องกันสูงสุดครับ! ใครใช้ XWiki รีบอัปเดตโดยด่วน!
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก