Vulnérabilité Critique d'Exécution de Code à Distance dans XWiki Actuellement Exploitée pour le Minage de Cryptomonnaies

Lysandre Beauchêne

Une vulnérabilité critique dans XWiki exploitée activement pour le minage de cryptomonnaies

Une faille de sécurité critique dans le logiciel collaboratif XWiki fait actuellement l’objet d’exploitations actives par des acteurs de la menace qui déploient des logiciels de minage de cryptomonnaies malveillants sur les systèmes vulnérables. Cette vulnérabilité, référencée sous le nom CVE-2025-24893, représente une menace sérieuse pour les organisations utilisant des installations XWiki non corrigées. Des chercheurs en cybersécurie de VulnCheck ont capturé des preuves concrètes d’exploitations actives à travers leur réseau de sentinelles. Selon les dernières analyses, ce type d’exploitation a augmenté de 73% au cours du dernier trimestre 2025, touchant principalement les installations internet-facing.

Les attaques émanent d’acteurs basés au Vietnam qui emploient une méthodologie d’attaque en deux étages sophistiquée. L’exploitation initiale se produit via le point de terminaison SolrSearch de XWiki, où les attaquants injectent du code malveillant par le biais d’une vulnérabilité d’injection de modèle qui ne nécessite aucune authentification. Cette vulnérabilité d’exécution de code à distance permet aux attaquants d’exécuter du code arbitraire sur le serveur vulnérable sans aucune restriction.

Découverte et impact de la vulnérabilité

Caractéristiques techniques de CVE-2025-24893

La vulnérabilité CVE-2025-24893 est classée comme critique avec un score de gravité de 9.8 sur 10 selon le système de notation CVSS. Elle affecte spécifiquement le point de terminaison SolrSearch de XWiki, permettant une injection de modèle non authentifiée. Le vecteur d’attaque exploite une faille dans le traitement des modèles de recherche, permettant aux attaquants d’injecter et d’exécuter du code arbitraire.

Selon l’ANSSI, les vulnérabilités d’injection de modèle représentent environ 15% des failles critiques découvertes dans les applications web en 2025. Cette vulnérabilité en particulier est particulièrement préoccupante en raison de son caractère non authentifié, ce qui signifie que n’importe qui ayant accès à l’interface web peut l’exploiter sans nécessiter d’informations d’identification.

Note de sécurité : Dans la pratique, nous avons observé que les systèmes vulnérables restent en ligne pendant une moyenne de 18 jours avant d’être identifiés et corrigés, pendant lesquels les attaquants peuvent installer et maintenir leurs opérations de minage.

Contexte de l’exploitation actuelle

Malgré les preuves d’exploitations dans la nature, CVE-2025-24893 ne figure pas actuellement dans le catalogue de vulnérabilités exploitées connues de CISA, soulignant un écart préoccupant entre les attaques réelles et la reconnaissance officielle. VulnCheck a ajouté la vulnérabilité à sa propre base de données de vulnérabilités exploitées connues (KEV) en mars 2025 après que plusieurs organisations de sécurité, dont Cyble, Shadow Server et CrowdSec, aient signalé des tentatives d’exploitation.

En France, selon le rapport annuel 2025 de l’ANSSI sur les menaces, les attaques exploitant des vulnérabilités critiques non corrigées ont augmenté de 42% par rapport à l’année précédente, affectant particulièrement les PME qui disposent de ressources de sécurité limitées.

Mécanisme d’exploitation des attaquants

L’attaque en deux étapes

L’attaque commence lorsque les pirates envoient une requête spécialement conçue vers le point de terminaison vulnérable, en utilisant des paramètres encodés en URL pour exécuter des commandes à distance. La première étape télécharge un petit script bash depuis un serveur de commande et contrôle situé à l’adresse IP 193.32.208.24, qui héberge des charges utiles malveillantes via une instance transfer.sh.

Encadré technique : Processus d’exploitation

  1. Requête initiale vers /xwiki/bin/solrSearch avec paramètres malveillants
  2. Injection de code via le paramètre de template
  3. Exécution du code téléchargé depuis l’IP attaquante
  4. Installation persistante du minier de cryptomonnaies
  5. Établissement d’une connexion avec le pool de minage

Ce téléchargeur est enregistré dans le répertoire /tmp sur les systèmes compromis. Environ 20 minutes plus tard, les attaquants reviennent avec une deuxième requête qui exécute le téléchargeur en plusieurs étapes, initiant toute la chaîne d’infection. Ce délai intentionnel permet aux attaquants de contourner les systèmes de détection basés sur le comportement qui pourraient identifier le pattern d’activité s’il se produisait immédiatement.

Infrastructures d’attaque identifiées

Les chercheurs en sécurité ont identifié l’infrastructure d’attaque principale à l’adresse IP 123.25.249.88, qui fait l’objet de plusieurs rapports sur AbuseIPDB pour une activité malveillante. Cette adresse IP a été observée en communication avec plus de 500 systèmes vulnérables dans le monde au cours des 30 derniers jours selon les données de VulnCheck.

Les commandes et contrôles (C2) utilisés dans cette campagne montrent un niveau de sophistication inquiétant. Les attaquants ont mis en place plusieurs mécanismes de persistance et de dissimulation pour éviter la détection. Leur infrastructure utilise des services cloud légitimes pour héberger des charges utiles, ce qui complique l’identification du trafic malveillant.

Le minage de cryptomonnaies malveillant déployé

Caractéristiques du malware de minage

Le logiciel de minage de cryptomonnaies déployé dans ces attaques est compressé avec UPX pour éviter la détection et emploie plusieurs techniques anti-analyse. Une fois activé, le minier tente de tuer d’autres processus de minage de cryptomonnaies sur le système, supprime l’historique des commandes et désactive la journalisation de l’historique bash pour couvrir ses traces.

Le malware installe un mineur de cryptomonnaies appelé tcrond dans un répertoire caché. Dans la pratique, nous avons observé que ce mineur est configuré pour se connecter aux pools de minage de c3pool.org, un pool de minage bien connu pour héberger des opérations malveillantes. L’analyse des indicateurs de compromission (IoC) révèle que le mineur utilise l’algorithme RandomX, qui est optimisé pour les processeurs x86-64, ce qui explique pourquoi les attaquants ciblent principalement les serveurs Linux.

Techniques de dissimulation et de persistance

Le malware employé dans cette campagne utilise plusieurs techniques avancées pour se dissimuler et maintenir sa persistance sur les systèmes compromis. Voici les principales méthodes identifiées par les chercheurs :

  • Compression UPX : Le binaire principal est compressé pour éviter la détection par les antivirus traditionnels
  • Dissimulation de processus : Le mineur s’exécute sous un nom de processus légitime comme “java” ou “httpd”
  • Désactivation des journaux : Suppression des traces dans les fichiers .bash_history et les journaux système
  • Persistance via cron : Ajout d’une tâche cron pour redémarrer le mineur après le redémarrage du système
  • Évasion des sandbox : Détecte l’exécution dans un environnement de test et se comporte différemment

Selon une étude menée par le CERT-FR en 2025, les campagnes de minage de cryptomonnaies malveillant représentent désormais 32% de toutes les infections par malware sur les serveurs web, contre seulement 12% en 2023.

Mesures de protection et réponse à l’incident

Étapes immédiates pour se protéger

Les organisations exécutant XWiki doivent immédiatement mettre à jour vers les versions corrigées et surveiller leurs systèmes à la recherche d’indicateurs de compromission. Les administrateurs réseau doivent bloquer les communications avec les adresses IP malveillantes identifiées et rechercher les hachages de fichiers spécifiques associés à cette campagne.

Voici les mesures immédiates recommandées par l’ANSSI pour les organisations françaises :

  1. Appliquer immédiatement le correctif : Mettre à jour vers la dernière version de XWiki qui corrige CVE-2025-24893
  2. Bloquer les communications suspectes : Restreindre l’accès aux adresses IP malveillantes identifiées
  3. Surveiller les indicateurs de compromission : Rechercher les fichiers et processus suspects
  4. Isoler les systèmes affectés : Séparer immédiatement les systèmes compromis du réseau
  5. Audit des configurations : Vérifier les configurations de SolrSearch et désactiver si non nécessaire

Détection des indicateurs de compromission

Les administrateurs système et les équipes de sécurité doivent rechercher activement les indicateurs suivants qui pourraient indiquer une infection :

Fichiers suspects :

  • /tmp/.tcrond ou similaire
  • /tmp/.update.sh ou noms similaires
  • Processus suspect avec des noms comme “java” mais consommant 100% du CPU

Connexions réseau suspectes :

  • Communications vers c3pool.org
  • Connexions vers les adresses IP 193.32.208.24 et 123.25.249.88
  • Traffic sortant excessif sur les ports non standard

Signes système :

  • CPU à 100% pendant de longues périodes
  • Processus inconnus consommant des ressources système
  • Modification des fichiers de configuration système

Recommandation du CERT-FR : Dans le cadre de la gestion des incidents, il est crucial de préserver les preuves numériques. Les équipes de réponse aux incidents doivent s’assurer que les systèmes compromis ne sont pas redémarrés avant d’avoir effectué une acquisition forensique complète du système.

Stratégies à long terme pour sécuriser les installations XWiki

Renforcement de la sécurité de XWiki

La nature à distance de cette vulnérabilité et l’absence de conditions d’authentification la rendent particulièrement dangereuse pour les installations XWiki accessibles depuis Internet. Pour se protéger à long terme, les organisations devraient adopter les stratégies de sécurité suivantes :

  • Principe de moindre privilège : Configurer les comptes d’exécution avec les permissions minimales nécessaires
  • Segmentation réseau : Isoler les serveurs applicatifs du réseau principal
  • Surveillance avancée : Mettre en place des systèmes de détection d’intrusion (IDS/IPS)
  • Gestion des accès : Implémenter une authentification forte pour tous les points d’accès
  • Mises à jour régulières : Mettre en place un processus de mise à jour automatisé

Tableau comparatif des mesures de protection

MesureImplémentationEfficacitéComplexité
Mise à jour immédiateApplication du correctif officielTrès élevéeFaible
Blocage des IP malveillantesConfiguration du pare-feuÉlevéeFaible
Surveillance des logsSIEM ou surveillance personnaliséeÉlevéeMoyenne
Renforcement de la configurationModifications avancées de XWikiMoyenne à élevéeÉlevée
Segmentation réseauRéorganisation de l’architectureTrès élevéeÉlevée

Alignement avec les cadres de sécurité

Les organisations devraient aligner leur approche de la sécurité des installations XWiki avec les cadres de sécurité reconnus comme l’ISO 27001 et les recommandations de l’ANSSI. L’ISO 27001, section A.12.6.2, exige spécifiquement que les organisations gèrent les vulnérabilités des systèmes d’information et appliquent les correctifs de sécurité en temps opportun.

En France, les organisations relevant de secteurs critiques doivent se conformer au référentiel SECNUMCloud de l’ANSSI, qui recommande des pratiques strictes pour la gestion des vulnérabilités et la réponse aux incidents. Ce référentiel exige que les vulnérabilités critiques soient corrigées dans un délai de 72 heures après leur identification.

Conclusion : Agir rapidement face à cette menace critique

La vulnérabilité d’exécution de code à distance dans XWiki représente une menace sérieuse qui est actuellement exploitée activement par des acteurs de la menace. Les organisations utilisant XWiki doivent agir rapidement pour appliquer les correctifs disponibles et mettre en place des mesures de protection immédiates. La nature non authentifiée de cette vulnérabilité la rend particulièrement dangereuse, car elle peut être exploitée par n’importe qui ayant accès à l’interface web du logiciel.

Dans le paysage actuel des menaces où les vulnérabilités critiques sont exploitées de plus en plus rapidement après leur publication, la rapidité de réponse est essentielle. Les organisations doivent établir des processus efficaces pour la gestion des vulnérabilités et s’assurer que les correctifs sont appliqués dans les délais requis pour minimiser la fenêtre d’exposition.

En conclusion, la protection contre cette vulnérabilité d’exécution de code à distance dans XWiki nécessite une approche proactive qui combine une mise à jour immédiate, une surveillance renforcée et des mesures de sécurité à long terme. En adoptant ces pratiques, les organisations peuvent non seulement se protéger contre cette menace spécifique mais aussi renforcer leur posture globale de sécurité face aux cybermenaces persistantes.