RondoDox Botnet ve XWiki Güvenlik Açığı
XWiki sunucularını hedef alan RondoDox adlı botnet malware, son günlerde siber güvenlik gündeminin en önemli maddelerinden birini oluşturuyor. Özellikle güncellenmemiş XWiki versiyonlarındaki CVE-2025-24893 kodlu kritik güvenlik açığı, siber suçlular tarafından istismar ediliyor. Bu açık, kullanıcıların izni olmadan uzak kod çalıştırmalarına olanak tanıyor.
CVE-2025-24893 Açığı Nedir?
CVE-2025-24893, 9.8 gibi yüksek bir CVSS puanına sahip bir eval injection hatasıdır. Bu güvenlik açığı, herhangi bir misafir kullanıcının “/bin/get/Main/SolrSearch” endpoint’ine bir istek göndererek uzaktan kod çalıştırmasına izin vermektedir. XWiki geliştiricileri bu açığı, 2025 yılının Şubat ayında XWiki 15.10.11, 16.4.1 ve 16.5.0-RC1 sürümlerinde kapatmışlardır. Ancak, birçok sunucu hala bu güncellemeleri uygulamadığı için saldırganlar için bir fırsat sunmaktadır.
Saldırılar ve İlk Gözlemler
VulnCheck, bu açığın Mart 2025’tan beri istismar edildiğine dair veriler topladığını belirtmektedir. Ancak, Ekim ayının sonlarına doğru açığın iki aşamalı bir saldırı zinciri ile kullanılan bir kripto para madencisi olarak yeniden silahlandırıldığını açıkladı. Bu tür saldırılar, genellikle siber güvenlik tehditleri arasında hızla yayılan bir virüs gibi etki gösteriyor.
Aynı zamanda, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açığı “Bilinen İstismar Edilen Güvenlik Açıkları” (KEV) kataloguna ekleyerek, federal kuruluşların gerekli önlemleri 20 Kasım’a kadar almalarını zorunlu kılmıştır. Bu durum, güvenlik açığının ciddiyetini daha da pekiştirmektedir.
RondoDox’un Faaliyetleri
RondoDox, bir botnet olarak, yeni sömürü yolları ekleyerek daha fazla cihaza yayılma çabası içerisine girmiştir. Bu botnet, HTTP, UDP ve TCP protokolleri kullanarak dağıtık hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere zayıf cihazları hedef alıyor. RondoDox’un ilk exploiti 3 Kasım 2025 tarihinde gözlemlenmiştir.
Ayrıca, bu güvenlik açığının istismar edilmesiyle ilgili diğer saldırılar arasında kripto para madencileri, ters kablo bağlantısı sağlama girişimleri ve genel tarama faaliyetleri yer almaktadır. Bu tür faaliyetlerin artması, daha geniş bir saldırı ağı ve birçok tehdit aktörünün devrede olduğunu göstermektedir.
Patching Yöntemleri ve Önemi
Yapılan gözlemler, etkin bir patch yönetimi uygulamanın gerekliliğini bir kez daha ortaya koymaktadır. Güvenlik güncellemelerinin ihmal edilmesi, kullanıcıları son derece tehlikeli duruma sokmaktadır. VulnCheck’in Jacob Baines’in de belirttiği gibi, “CVE-2025-24893 tanıdık bir hikaye: bir saldırgan ilk adımı atar ve çok sayıda takipçi gelir.” Bu nedenle, güvenlik açıklarını kapatmak için zamanında güncellemeler yapmak son derece önemlidir.
Sonuç olarak, siber güvenlik alanında gelişmeler her zaman takip edilmeli ve gerekli önlemler alınmalıdır. Zayıf noktaların tespit edilmesi ve giderilmesi, hem bireysel hem de kurumsal düzeyde güvenliği artıracaktır.
