XWiki ve DELMIA açıkları, Monero(XMR) madenciliği için kullanıldı

Açık kaynaklı yazılımlardaki güvenlik açıkları, bir kez daha yasa dışı kripto para madenciliği faaliyetlerinde kullanıldı. Siber güvenlik şirketi VulnCheck’in 24’ünde paylaştığı rapora göre, hackerlar XWiki ve DELMIA Apriso yazılımlarındaki zafiyetleri kullanarak izinsiz Monero(XMR) madenciliği gerçekleştirdi.

XWiki’nin ‘şablon sistemi’ içerisinde tespit edilen kritik güvenlik açığı (CVE-2025-24893), saldırganların uzaktan zararlı kod çalıştırmasına olanak tanıyor. Açıklamaya göre süreç oldukça basit işliyor: Saldırganlar, hedef bilgisayara önce ‘x640’ isimli hafif bir program yüklüyor. Ardından bu uygulama üzerinden verilen komutlarla, ‘x521’ ve ‘x522’ isimli iki ek komut dosyası sisteme indiriliyor. Bu dosyalar, *tcrond* adlı Monero madenciliği aracını kurup çalıştırıyor. Ayrıca bu zararlı yazılım, sistemdeki mevcut başka madencilik uygulamalarını da otomatik olarak sonlandırarak tüm işlem gücünü kendi çıkarına kullanıyor.

Elde edilen Monero’lar, c3pool.org adlı *madencilik havuzu* üzerinden saldırganların dijital cüzdanlarına aktarılıyor. Monero’nun ‘anonimlik’ odaklı tasarımı ve işlemlerin geri izlenememesi nedeniyle c3pool.org gibi havuzlar yasa dışı faaliyetlerde sıkça tercih ediliyor.

Bu gelişmeler üzerine, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bir uyarı yayımladı. Açıklamada sadece XWiki değil, endüstriyel otomasyon yazılımı DELMIA Apriso’da da benzer şekilde uzaktan kod çalıştırmaya olanak sağlayan açıklar bulunduğu ve bu durumun kurumsal sistemleri ciddi risk altına soktuğu belirtildi.

Uzmanlar, söz konusu türden *kripto madenciliği saldırıları* (cryptojacking) karşısında c3pool.org ile ilişkili IP adreslerinin engellenmesi ve tüm ağ trafiğinin titizlikle izlenmesi gerektiğini vurguladı. Ayrıca sistemde ‘tcrond’ dosyasına rastlandığında bunun hemen kaldırılması gerektiği belirtildi.

Öte yandan Monero, işlem geçmişinin gizli kalması nedeniyle uzun süredir siber suçluların tercih ettiği bir kripto para olarak biliniyor. Yaşanan son olay, açık kaynak platformların güvenlik açıklarının kötüye kullanımına karşı hem kullanıcıların hem de kurumların güvenlik tedbirlerini bir kez daha gözden geçirmesi gerektiğini gösteriyor.