Serangan terbaru yang melibatkan botnet RondoDox kembali menjadi sorotan setelah ditemukan menargetkan instance XWiki yang belum ditambal. Serangan ini memanfaatkan celah keamanan kritis yang memungkinkan pelaku memperoleh akses untuk mengeksekusi kode secara arbitrer. Kerentanan yang dimaksud adalah CVE-2025-24893, sebuah eval injection bug dengan skor CVSS 9.8 yang memungkinkan pengguna tamu melakukan remote code execution melalui permintaan ke endpoint “/bin/get/Main/SolrSearch.” Pihak pengembang XWiki telah merilis patch untuk menutup celah tersebut dalam versi 15.10.11, 16.4.1, dan 16.5.0RC1 pada akhir Februari 2025.
Bukti awal menunjukkan bahwa kelemahan ini telah dieksploitasi sejak Maret. Namun eskalasi signifikan baru tampak pada akhir Oktober ketika VulnCheck mengungkap adanya upaya serangan baru yang memanfaatkan celah tersebut dalam rangkaian serangan dua tahap guna memasang cryptocurrency miner. Tidak lama setelah temuan itu dipublikasikan, CISA di Amerika Serikat menambahkan CVE-2025-24893 ke dalam katalog Known Exploited Vulnerabilities (KEV) dan mewajibkan seluruh lembaga federal untuk menerapkan mitigasi sebelum tenggat 20 November.
Dalam laporan terbaru yang dirilis pada hari Jumat, VulnCheck menyebutkan adanya lonjakan aktivitas eksploitasi yang mencapai puncak baru pada 7 November dan kembali meningkat pada 11 November. Pola ini menunjukkan adanya aktivitas pemindaian berskala luas yang mengindikasikan lebih dari satu aktor ancaman tengah berpartisipasi. Salah satu pelaku tersebut adalah botnet RondoDox, yang diketahui terus menambahkan vektor eksploitasi baru untuk menginfeksi perangkat rentan dan mengarahkan mereka sebagai bagian dari serangan distributed denial-of-service (DDoS) melalui protokol HTTP, UDP, dan TCP. Eksploitasi pertama yang melibatkan RondoDox tercatat pada 3 November 2025 menurut laporan perusahaan keamanan siber itu.
Di luar aktivitas RondoDox, serangan lain pun turut memanfaatkan kerentanan ini untuk memasang cryptocurrency miner, membuka reverse shell, hingga melakukan probing menggunakan template Nuclei khusus CVE-2025-24893. Fenomena ini memperlihatkan betapa cepatnya sebuah celah keamanan dapat diadopsi oleh berbagai aktor setelah eksploitasi awal ditemukan. Seperti yang disampaikan Jacob Baines dari VulnCheck, “CVE-2025-24893 adalah kisah lama yang kembali terulang: satu penyerang bergerak lebih dulu, dan banyak yang mengikuti. Dalam hitungan hari setelah eksploitasi awal, kami melihat botnet, miner, dan pemindai oportunistik semuanya memanfaatkan kerentanan yang sama.”
Rentetan peristiwa ini kembali menegaskan pentingnya penerapan manajemen patch yang kuat dan konsisten. Tanpa pembaruan sistem yang tepat waktu, organisasi dengan cepat menjadi target empuk bagi serangan yang memanfaatkan celah-celah yang sudah diketahui publik. Kerentanan kritis seperti CVE-2025-24893 membuktikan bahwa kecepatan dalam menambal sistem sering kali menentukan apakah sebuah layanan tetap aman atau menjadi korban berikutnya.