XWiki : Vulnérabilité Critique d'Exécution de Code à Distance (CVE-2025-24893) Active en Nature

Théophane Villedieu

Attaque Active : Exécution de Code à Distance dans XWiki pour le Cryptomining

Une vulnérabilité critique dans le logiciel de collaboration XWiki est activement exploitée par des acteurs malveillants pour déployer des logiciels-miniers de cryptomonnaies sur des systèmes vulnérables. Cette faille, identifiée sous le CVE-2025-24893, représente un risque majeur pour les organisations utilisant des installations XWiki non mises à jour. Les chercheurs de VulnCheck ont confirmé l’exploitation en temps réel via leur réseau de pièges. Selon le NVD (National Vulnerability Database), cette vulnérabilité est classée en sevérité Critique (score CVSS 9.8/10), ce qui souligne l’urgence de la situation.

Mécanisme Technique de la Faille : Injection de Modèles à Distance Non Authentifiée

Exploitation du point d’entrée SolrSearch

La faille réside dans le module SolrSearch d’XWiki, permettant une injection de modèles à distance sans authentification. Les attaquants exploitent l’endpoint /bin/xyz/solr via des requêtes HTTP malveillantes contenant des paramètres URL-encodés. Cette technique permet d’exécuter arbitrairement des commandes système sur les serveurs cibles.

Chaîne d’attaque en deux étapes

  1. Première phase : Téléchargement initial via transfer.sh (IP : 193.32.208.24) - Un script bash minimal est sauvé dans /tmp
  2. Seconde phase : Exécution du script téléchargé après 20 minutes - Téléchargement de deux payloads complémentaires :
    • Un script pour installer le minier “tcrond” dans un répertoire caché
    • Un script pour éliminer les concurrents et se connecter à c3pool.org

Menace Géographique et Infrastructure C2

Attribution aux acteurs vietnamiens

Les analyses indiquent que la menace provient majoritairement du Vietnam. L’infrastructure de commande et de contrôle (C2) principale est localisée à l’adresse IP 123.25.249.88, signalée 23 fois sur AbuseIPDB pour activités malveillantes.

Techniques d’évasion et de cache

  • UPX-packing : Le minier “tcrond” est packé avec UPX pour éviter les signatures antivirus
  • Anti-analyse : Arrêt des processus concurrents de minage, suppression des historiques de commandes
  • Persistence : Création de tâches cron cachées pour maintenir l’accès

Impact Organisationnel : Risques et Conséquences

Coûts directs et indirects

Selon une étude récente de Kaspersky (2025), les attaques de cryptomining entraînent en moyenne 15% de surconsommation énergétique et 40% de dégradation des performances système. Pour une infrastructure française avec 100 serveurs pénétrés :

Coût annuel moyenImpact technique
55 000€Latence accrue de 70%
12 000€Risque de corruption de données
8 500€Augmentation du risque de révélations RGPD

Risques spécifiques pour les organisations françaises

Les normes ANSSI (reference ANSSI-DT-2023-005) exigent une protection immédiate des systèmes critiques. La non-mise en œuvre de correctifs expose les entreprises à :

  • Des amendes RGPD allant jusqu’à 4% du chiffre d’affaires mondial
  • La compromission de données sensibles dans les secteurs public et privé
  • Des perturbations opérationnelles critiques pour les infrastructures industrielles

Mesures de Protection et Réponse Incident

Étapes d’urgence pour les administrateurs

  1. Mise à jour immédiate : Mettre à jour XWiki vers la version 2.13.4 (correctif CVE-2025-24893)
  2. Restriction réseau : Bloquer les communications sortantes vers :
    • 193.32.208.24 (C2 initial)
    • 123.25.249.88 (C2 principal)
  3. Analyse de détection :
    • Recherche des fichiers /tmp/* avec attribut “caché”
    • Vérification des processus associés à “tcrond”
    • Recherche des connexions sortantes vers c3pool.org

Prévention à long terme

  • Isolation des services : Exposer XWiki derrière un reverse proxy avec règles de sécurité strictes
  • Audit régulier : Utilisation de scanners de vulnérabilités (OWASP ZAP, Nessus) avec mise à jour des signatures mensuelle
  • Principe de moindre privilège : Exécuter XWiki avec un compte système non-administrateur

Conclusion : Priorité absolue à la cybersécurité des systèmes collaboratifs

La vulnérabilité CVE-2025-24893 dans XWiki illustre le danger immédiat des logiciels collaboratifs non protégés. Les attaquants exploitent une faille d’injection de modèles avec une efficacité alarmante, transformant les serveurs en fermes de minage clandestines. Les organisations françaises doivent prioriser cette vulnérabilité critique en appliquant les correctifs ANSSI recommandés et en renforçant leurs mécanismes de détection. La vigilance continue et les mises à jour proactives restent les seuls remparts efficaces contre ces menaces évolutives. Ne laissez pas une vulnérabilité non corrigée compromettez votre infrastructure et vos données sensibles.