RondoDoxがXWikiの未修正RCE（CVE-2025-24893）を大量悪用し、DDoS/マイニング用途のボットネットを急拡大しています

今日の深掘りポイント

• パッチ公開済み（2025年2月）にもかかわらず、XWikiの重大RCEが長期放置され、3月以降の実害攻撃が増勢に転じています。CISAのKEV入りは「実運用での悪用」を裏づける強いシグナルです。
• 標的は公開インターネットに面したXWiki。RondoDoxはRCEを足掛かりにDDoSボット化と暗号資産マイニングを同時展開し、被害資産のリソースを継続収奪します。
• 教育・公共分野でもXWiki利用が広く、可用性劣化（DDoS中継）とコスト増（マイニング）という二重の影響が出やすい構造です。
• いま最優先は「攻撃面の縮小（パッチ、匿名・ゲスト権限の抑制、WAFの即応）」「攻撃の痕跡ハンティング（Java→/bin/sh子プロセス、/tmp配備、cron追加、外向きC2通信）」です。
• メトリクスが示唆するのは緊急性と行動可能性の高さです。対処ウィンドウは短く、既存コントロールの素早い再構成で被害拡大を抑えられる局面です。

はじめに

XWikiのリモートコード実行脆弱性（CVE-2025-24893、CVSS 9.8）を起点に、RondoDoxとされるボットネットが未修正サーバーを勧誘している事案が報告されています。パッチは2025年2月に提供済みですが、3月以降に現実世界の攻撃が確認され、直近で活動が活発化しています。ボット化後はDDoS攻撃や暗号通貨マイナーの展開に用いられ、被害サーバーは外部攻撃の踏み台かつ資源収奪の標的になります。米CISAが既知の悪用脆弱性（KEV）に追加し、短期期限での対処を求めた点は、官民問わず即応を促す強いシグナルです。

本稿では、事実と推測を切り分け、攻撃連鎖のどこを断ち切れば被害を最小化できるか、CISO・SOC・TIの視点で整理します。

深掘り詳細

事実整理（確認済み）

• 標的脆弱性はXWikiのCVE-2025-24893（RCE、CVSS 9.8）です。XWikiプロジェクトは2025年2月に修正を提供済みです。
• 3月から悪用が観測され、直近で攻撃頻度が増加しています。RondoDoxは未修正インスタンスをボットネットに取り込み、DDoSと暗号通貨マイニングを展開しています。
• CISAは当該CVEをKEVに追加し、連邦機関に対し期限（11月20日）までの対処を要請しています。
• 攻撃はXWikiの特定エンドポイントに対するリクエストを通じた任意コード実行（いわゆるeval注入）という性質で、匿名アクセスや広い公開範囲の構成だと成功確率が高まります。
• 参考情報（報道）: The Hacker News: RondoDox Exploits Unpatched XWiki

インサイト（なぜ効くのか／どこで止めるか）

• パッチ・ガバナンスの地雷原です。XWikiは「社内ナレッジ・教育用Wiki」として後回しになりがちなカテゴリで、公開インターフェースの更新遅延と匿名閲覧の広さが重なり、RCEの実利用率が高まります。アップグレードの互換性懸念や拡張機能依存が適用の遅れを助長しやすいです。
• ボット運用から見れば「即金と継戦力」の両取りです。RCEで即時にDDoS兵力を増やし、平時はマイニングで収益化、戦時はDDoSに転用という二面戦略が成立します。CPUリッチなJava基盤はマイニング効率も悪くないため、攻撃者の費用対効果が高いです。
• WAFだけでは詰め切れないレンジです。アプリケーション固有のエンドポイントでのコード評価経路は、単純なペイロードシグネチャ回避が容易です。WAFは「当面のバッファ」として有効ですが、最終的にはアプリ側のパッチ適用・権限設計（特にProgramming/Script権限の最小化）でしか塞げません。
• 「踏み台化の影響半径」は自社外に広がります。DDoSの中継に使われることで、第三者被害に自組織が加担するリスク、通信事業者からの通告、評判リスク、クラウド/ホスティング利用規約違反など、二次的な負債が膨らみます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。実環境では監査ログやフォレンジック結果で検証する前提で読み替えてください。

• シナリオ1：大量ボット化→DDoS中継

  • 初期アクセス: Exploit Public-Facing Application（T1190）
  • 実行: Command and Scripting Interpreter（T1059、bash/sh）
  • ツール取得: Ingress Tool Transfer（T1105）
  • 永続化: Scheduled Task/Job（T1053、cron）またはServer Software Component（T1505）
  • C2: Application Layer Protocol（T1071、HTTP/S）
  • 影響: Network Denial of Service（T1498）
  • 事業影響: 回線・サーバー負荷増、上流ISPからのトラフィック遮断圧力、可用性SLA毀損です。

• シナリオ2：資源収奪（暗号通貨マイニング）

  • 初期アクセス: T1190
  • 実行/展開: T1059、T1105
  • 永続化: T1053/T1505
  • 防御回避: Obfuscated/Compressed Files and Information（T1027）、Indicator Removal（T1070）
  • 影響: Resource Hijacking（T1496）
  • 事業影響: CPU飽和による本来業務の遅延、クラウド課金の増大、冷却/電力コスト増です。

• シナリオ3：内部侵害の踏み台化（推測）

  • 初期アクセス: T1190
  • 認証情報窃取（XWiki連携/設定の不備を突く仮説）: Unsecured Credentials（T1552）
  • 横展開: Valid Accounts（T1078）
  • コレクション/影響: Data from Information Repositories（T1213）
  • 事業影響: WikiがSSOやディレクトリ連携している場合、権限昇格や他システム侵害の足掛かりになり得ます。構成依存のため検証が必要です。

• シナリオ4：検知回避とステルス運用

  • 防御回避: Masquerading（T1036）、Modify System Image/Startup（T1543/T1037）
  • 検知回避手口（仮説）: Javaプロセス配下に短命なシェルを生成して一括展開、痕跡は/tmp配備・即時削除、crontabやsystemdタイマーで再導入です。

総じて、攻撃は「スキャン→即時侵入→数分でボット化・永続化」までが短時間で完結する類型です。メトリクスの印象値からも、緊急性と着手容易性が際立つ局面で、優先順位の高いインシデント・クラスに相当します。

セキュリティ担当者のアクション

• 48時間以内（緊急対応）

  • パッチと構成
    • XWikiを脆弱版から修正済みバージョンへ即時更新します。
    • 一時的に外部公開を最小限にし、管理UIやREST/アクション系エンドポイントへの到達をVPN/ソースIP制限で囲い込みます。
    • 匿名/ゲストの閲覧・投稿・プログラミング/スクリプト権限を再点検し、最小化します。
  • 仮想パッチ（WAF/リバースプロキシ）
    • 既知の悪用パターンに近いリクエストボディの評価・ブロックと、XWiki固有パスに対するPOST/PUTのレート制限を有効化します。
    • HTTPリクエストボディのログ化を有効にし、後追い調査の材料を確保します。
  • インシデント・ハンティング
    • サーバー側での挙動監視:
      • 親がjava（Tomcat/Jetty等）の子として/bin/sh, bash, curl, wgetが起動していないかを確認します。
      • /tmp配下への未知バイナリ作成、実行権限付与、直後の削除などの痕跡を確認します。
      • crontabやsystemdタイマー/サービスの新規作成・改変を点検します。
      • 外向きに不審なHTTP/HTTPS接続（IP直打ち、短周期のビーコン）有無を確認します。
    • アプリ/アクセスログ:
      • 短時間に集中するPOST/PUTリクエスト、予期しないパラメータやサイズ異常、匿名ユーザーからの管理系操作を抽出します。
  • 収容・駆除
    • 感染兆候があればネットワーク隔離し、ボット/マイナーのプロセス停止、永続化削除、IOC（内部で把握したハッシュ・接続先）の共有を行います。
    • クラウド/ホスティングのAUP違反リスクに備え、プロバイダへの事後連絡テンプレートを準備します。

• 2週間以内（恒久対策）

  • 権限設計とアプリ・ハードニング
    • XWikiの「Programming/Script権限」を管理者のみに限定し、拡張機能やマクロの信頼モデルを見直します。
    • 管理UIや拡張管理（Extension Manager）への外部到達を恒久的に内製VPNまたは管理セグメント内に制限します。
  • 監視基盤の強化
    • Javaアプリ配下のプロセス生成監視、Webサーバーログのボディ含む集約、eBPF/EDRによる不審子プロセス・ネットワーク通信の検知ルールを整備します。
    • リソース異常検知（CPU常時高騰、プロセス起動頻度異常）でマイニングを早期捕捉します。
  • 攻撃面管理
    • 露出資産の継続棚卸（ASM）と、Wikiや開発者向けツールなど「後回しにされがちな外部公開アプリ」に対する専用SLAを設定します。
    • CISA KEV対応プロセスを導入し、KEV入りCVEは期限付きで強制適用する内規に落とし込みます。

• コミュニケーションとリスク管理

  • 事業部門・広報と連携し、DDoS踏み台化に伴う第三者影響へのステークホルダー対応計画を準備します。
  • 監査観点で、ログ保持期間の見直し（少なくとも今回の攻撃増加開始時期をカバー）と証跡保全の手順を整備します。

• 参考運用Tips（ベンダ非依存）

  • 短命な一発スクリプト導入型の攻撃に対し、「プロセス親子関係＋短時間の外向き通信」を組み合わせた相関ルールは高感度に機能します。
  • Webアプリ特有の評価系経路に強いWAFチューニングは、固定シグネチャだけでなく、URI/メソッド/サイズ/頻度ベースのふるまい検知を併用するとバイパス耐性が上がります。

参考情報

• 報道: RondoDox Exploits Unpatched XWiki (The Hacker News)

本件は「緊急性が高く、いますぐ動けば被害の増幅を抑えられる」タイプの案件です。パッチ、構成の最小化、WAFの即応配置、そしてプロセス・ネットワークふるまいのハンティングを並行実施し、短期で踏み台化の連鎖を断ち切ることが肝要です。