[출처=픽사베이]
[출처=픽사베이]

[전국뉴스=이화진 기자] 패치되지 않은 XWiki 인스턴스를 노린 새로운 봇넷 공격이 빠르게 확산하고 있는 것으로 나타났다. 특히 RondoDox(또는 Rondox)로 알려진 봇넷이 원격 코드 실행(RCE)이 가능한 치명적 취약점(CVE-2025-24893)을 이용해 대규모 봇넷 감염을 시도하면서 보안 업계의 경고가 이어지고 있다.

문제가 된 CVE-2025-24893은 XWiki의 "/bin/get/Main/SolrSearch" 엔드포인트"에서 발생한 평가자 인젝션 취약점으로, 인증되지 않은 게스트 사용자도 취약한 서버에서 임의의 원격 코드 실행(RCE)을 수행할 수 있다.

해당 결함은 XWiki 15.10.11, 16.4.1, 16.5.0RC1에서 2025년 2월 말 패치가 배포됐다.

VulnCheck는 올해 3월부터 해당 취약점이 야생에서 악용된 정황을 포착했으며, 10월 말에는 암호화폐 채굴기 설치를 목적으로 한 2단계 공격 체인에서 취약점을 실제 무기화하는 시도를 확인했다고 밝혔다.

이어 미국 사이버보안 및 인프라 보안국(CISA)은 이 취약점을 KEV(알려진 악용 취약점) 카탈로그에 추가하며, 연방 기관에 11월 20일까지 패치 적용을 명령했다.

VulnCheck가 공개한 최신 보고서에 따르면, 11월에 들어 취약점 악용 시도가 급증했으며 11월 7일 정점을 찍은 후 11월 11일에도 또 다른 급증이 관찰됐다.

이는 여러 위협 행위자가 경쟁적으로 스캔·공격에 참여하고 있음을 시사한다.

가장 적극적으로 움직이는 그룹 중 하나는 RondoDox 봇넷이다.

이 봇넷은 취약한 XWiki 서버를 감염시켜 HTTP, UDP, TCP 기반의 대규모 DDoS 공격에 동원하는 것으로 분석됐다.

전문가들은 이번 사례가 다시 한번 적시 패치 적용의 중요성을 강조하는 신호라며, 기업 및 기관이 XWiki 시스템의 업데이트 여부를 즉시 점검해야 한다고 지적한다.

저작권자 © 전국뉴스 무단전재 및 재배포 금지