477/68 (IT) ประจำวันพฤหัสบดีที่ 20 พฤศจิกายน 2568
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กำลังจับตามองการเคลื่อนไหวของมัลแวร์ RondoDox ซึ่งเป็นเครือข่าย Botnet ขนาดใหญ่ ที่ขณะนี้ได้เริ่มใช้ประโยชน์จากช่องโหว่ระดับวิกฤต บนแพลตฟอร์ม XWiki ช่องโหว่ดังกล่าวคือ CVE-2025-24893 ซึ่งเป็นข้อบกพร่องประเภท Remote Code Execution (RCE) ที่เปิดทางให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยหน่วยงาน CISA ของสหรัฐฯ ได้ประกาศแล้วว่าช่องโหว่นี้มีการโจมตีเกิดขึ้นจริง (Actively Exploited) ตั้งแต่ 30 ตุลาคมที่ผ่านมา และรายงานล่าสุดจาก VulnCheck ยังชี้ชัดว่ามีผู้โจมตีหลายกลุ่มกำลังใช้ช่องโหว่นี้ ไม่ใช่เพียง RondoDox แต่ยังรวมถึงกลุ่มที่มุ่งหวังติดตั้งมัลแวร์ขุดเหมืองคริปโตเคอร์เรนซีด้วย
จากการวิเคราะห์โดย VulnCheck พบว่า RondoDox เริ่มใช้เทคนิคนี้ตั้งแต่วันที่ 3 พฤศจิกายน โดยใช้วิธีส่งคำสั่ง HTTP GET ที่ฝังโค้ด Groovy แบบเข้ารหัส base64 ผ่านช่องทาง SolrSearch ของ XWiki เพื่อสั่งให้เซิร์ฟเวอร์เป้าหมายดาวน์โหลดและรันสคริปต์อันตราย (rondo.<value>.sh) ซึ่งทำหน้าที่เป็นตัวดาวน์โหลดด่านแรก (First-stage downloader) ก่อนที่จะไปดึงเพย์โหลดหลักของ RondoDox มาติดตั้งในภายหลัง นอกจากนี้ นักวิจัยยังตรวจพบการโจมตีในรูปแบบอื่น เช่น การพยายามติดตั้ง Bash Reverse Shell และการสแกนหาช่องโหว่อย่างเป็นวงกว้างด้วยเครื่องมืออย่าง Nuclei เพื่อหาจุดเจาะซ้ำ
สำหรับ XWiki Platform นั้น เป็นซอฟต์แวร์โอเพนซอร์สที่ทำงานบน Java และมักถูกใช้เป็นระบบจัดการองค์ความรู้ภายใน (Internal Knowledge Management) ขององค์กร ผู้ดูแลระบบที่ใช้แพลตฟอร์มนี้ในเวอร์ชันก่อน 15.10.11 และ 16.4.1 ถือว่ามีความเสี่ยงสูงสุด ผู้เชี่ยวชาญแนะนำให้ทำการอัปเดตแพตช์ความปลอดภัยโดยทันที เนื่องจากสถานการณ์มีความเร่งด่วนสูง โดยพบว่าผู้โจมตีเริ่มฉวยโอกาสจากช่องโหว่นี้เพียงไม่กี่วันหลังจากที่เริ่มมีการโจมตีครั้งแรกเท่านั้น และผู้ดูแลระบบสามารถลดความเสี่ยงได้โดยอาศัย Indicators of Compromise (IoCs) ที่มีการเผยแพร่แล้ว ซึ่งสามารถใช้บล็อกความพยายามโจมตีจากเซิร์ฟเวอร์และ user-agent ที่เชื่อมโยงกับ RondoDox ได้อย่างมีประสิทธิภาพ
