CVE-2025-24893 : La vulnérabilité critique de XWiki activée pour le mining de cryptomonnaie

Une faille critique active dans XWiki menace les infrastructures françaises

La sécurité des logiciels collaboratifs est cruciale pour les entreprises françaises, et la vulnérabilité non authentifiée CVE-2025-24893 dans XWiki expose désormais des dizaines de milliers de serveurs à un risque immédiat de compromise via des attaques de mining de cryptomonnaie. Cybersecurity experts alertent sur une exploitation réelle par des acteurs vietnamiens, mettant en évidence les failles des pratiques de maintenance courantes.

Vulnérabilité critique : Exploitation via injection de templates non authentifiée

La faille critique CVE-2025-24893 affecte XWiki à travers l’endpoint SolrSearch, permettant à des attaquants d’injecter des templates malveillards sans aucune authentification. Cette vulnérabilité de type RCE (Remote Code Execution) exploite une faille d’encodage des paramètres URL, ouvrant la porte à un contrôle total du serveur.

Mécanisme d’exploitation en deux temps

Les attaquants déployent une méthode en deux étapes : la première phase consiste à envoyer une requête HTTP malveillante contenant un script bash codé en URL. Ce script est téléchargé depuis un serveur C2 situé à l’adresse IP 193.32.208.24 (hébergé sur transfer.sh) et sauvegardé dans le répertoire /tmp. Après 20 minutes, une seconde requête active le téléchargement du payload principal.

Impact immédiat : Installation de tcrond

Le script initial installe un miner de cryptomonnaie nommé tcrond dans un répertoire caché, en utilisant des techniques d’emballage UPX pour contourner les solutions de détection. Le malware tue également les processus de mining concurrents et se connecte aux pools de c3pool.org, générant des revenus pour les attaquants sans que l’administrateur ne détecte d’anomalie.

Statistiques alarmantes et contexte géopolitique

Selon les données de la VulnCheck Network, plus de 8 000 serveurs exposés à Internet ont été ciblés entre août et septembre 2025, concentrés principalement dans les secteurs éducatif et manufacturier français. Les IP C2 identifiées (123.25.249.88 et 193.32.208.24) sont répertoriées sur AbuseIPDB pour des activités malveillantes, soulignant un manque de vigilance des acteurs français.

Stratégies de mitigation et bonnes pratiques

Actions immédiates pour les administrateurs

1. Mise à jour immédiate : Appliquez le correctif fourni par XWiki pour la version 9.6.2 (disponible à partir du 25 octobre 2025)
2. Blocking des IP C2 : Bloquez les communications sortantes vers 193.32.208.24 et 123.25.249.88 au niveau du pare-feu
3. Surveillance des logs : Recherchez les requêtes anormales sur l’endpoint /solrsearch, caractérisées par des paramètres URL encodés et des patterns de téléchargement dans /tmp

Sécurité proactive

• Segmentation réseau : Isoler les serveurs XWiki des réseaux critiques via VLAN
• Monitoring des IPs C2 : Utilisez des services comme AbuseIPDB ou AlienVault pour surveiller les IP suspectes
• Audit de sécurité : Effectuez une revue des templates utilisés dans XWiki pour identifier les points d’injection

Tableau comparatif des indicateurs de compromission

Conclusion : Une menace urgente pour la cybersécurité française

La vulnérabilité CVE-2025-24893 dans XWiki représente un danger immédiat pour les organisations françaises, avec une exploitation active par des groupes vietnamiens. La combinaison de l’absence d’authentification et de techniques de persistence cachées rend cette attaque particulièrement dangereuse. Les administrateurs système doivent agir rapidement en appliquant les correctifs et en surveillant leurs systèmes pour prévenir des compromissions majeures qui pourraient entraîner des pannes opérationnelles et des fuites de données. La cybersécurité n’est pas une option, mais une obligation organisationnelle vitale dans un paysage menacé.