477/68 (IT) ประจำวันพฤหัสบดีที่ 20 พฤศจิกายน 2568
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กำลังจับตามองการเคลื่อนไหวของมัลแวร์ RondoDox ซึ่งเป็นเครือข่าย Botnet ขนาดใหญ่ ที่ขณะนี้ได้เริ่มใช้ประโยชน์จากช่องโหว่ระดับวิกฤต บนแพลตฟอร์ม XWiki ช่องโหว่ดังกล่าวคือ CVE-2025-24893 ซึ่งเป็นข้อบกพร่องประเภท Remote Code Execution (RCE) ที่เปิดทางให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยหน่วยงาน CISA ของสหรัฐฯ ได้ประกาศแล้วว่าช่องโหว่นี้มีการโจมตีเกิดขึ้นจริง (Actively Exploited) ตั้งแต่ 30 ตุลาคมที่ผ่านมา และรายงานล่าสุดจาก VulnCheck ยังชี้ชัดว่ามีผู้โจมตีหลายกลุ่มกำลังใช้ช่องโหว่นี้ ไม่ใช่เพียง RondoDox แต่ยังรวมถึงกลุ่มที่มุ่งหวังติดตั้งมัลแวร์ขุดเหมืองคริปโตเคอร์เรนซีด้วย
จากการวิเคราะห์โดย VulnCheck พบว่า RondoDox เริ่มใช้เทคนิคนี้ตั้งแต่วันที่ 3 พฤศจิกายน โดยใช้วิธีส่งคำสั่ง HTTP GET ที่ฝังโค้ด Groovy แบบเข้ารหัส base64 ผ่านช่องทาง SolrSearch ของ XWiki เพื่อสั่งให้เซิร์ฟเวอร์เป้าหมายดาวน์โหลดและรันสคริปต์อันตราย (rondo.
สำหรับ XWiki Platform นั้น เป็นซอฟต์แวร์โอเพนซอร์สที่ทำงานบน Java และมักถูกใช้เป็นระบบจัดการองค์ความรู้ภายใน (Internal Knowledge Management) ขององค์กร ผู้ดูแลระบบที่ใช้แพลตฟอร์มนี้ในเวอร์ชันก่อน 15.10.11 และ 16.4.1 ถือว่ามีความเสี่ยงสูงสุด ผู้เชี่ยวชาญแนะนำให้ทำการอัปเดตแพตช์ความปลอดภัยโดยทันที เนื่องจากสถานการณ์มีความเร่งด่วนสูง โดยพบว่าผู้โจมตีเริ่มฉวยโอกาสจากช่องโหว่นี้เพียงไม่กี่วันหลังจากที่เริ่มมีการโจมตีครั้งแรกเท่านั้น และผู้ดูแลระบบสามารถลดความเสี่ยงได้โดยอาศัย Indicators of Compromise (IoCs) ที่มีการเผยแพร่แล้ว ซึ่งสามารถใช้บล็อกความพยายามโจมตีจากเซิร์ฟเวอร์และ user-agent ที่เชื่อมโยงกับ RondoDox ได้อย่างมีประสิทธิภาพ