Το botnet RondoDox έχει παρατηρηθεί ότι εκμεταλλεύεται το κρίσιμο σφάλμα React2Shell (CVE-2025-55182) για να μολύνει ευάλωτους διακομιστές Next.js με κακόβουλο λογισμικό και cryptominers.
Τεκμηριώθηκε για πρώτη φορά από το Fortinet τον Ιούλιο του 2025, το RondoDox είναι ένα botnet μεγάλης κλίμακας που στοχεύει πολλαπλά ελαττώματα n-day σε παγκόσμιες επιθέσεις. Τον Νοέμβριο, το VulnCheck εντόπισε νέες παραλλαγές RondoDox που περιείχαν εκμεταλλεύσεις για το CVE-2025-24893, μια ευπάθεια κρίσιμης απομακρυσμένης εκτέλεσης κώδικα (RCE) στην πλατφόρμα XWiki.
Μια νέα αναφορά από την εταιρεία κυβερνοασφάλειας CloudSEK σημειώνει ότι η RondoDox ξεκίνησε τη σάρωση για ευάλωτους διακομιστές Next.js στις 8 Δεκεμβρίου και άρχισε να αναπτύσσει πελάτες botnet τρεις ημέρες αργότερα.
Το React2Shell είναι ένα θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας που μπορεί να χρησιμοποιηθεί μέσω ενός μόνο αιτήματος HTTP και επηρεάζει όλα τα πλαίσια που υλοποιούν το πρωτόκολλο «Flight» του React Server Components (RSC), συμπεριλαμβανομένου του Next.js.
Το ελάττωμα έχει χρησιμοποιηθεί από αρκετούς παράγοντες απειλών για να παραβιάσουν πολλούς οργανισμούς. Βορειοκορεάτες χάκερ εκμεταλλεύτηκαν το React2Shell για να αναπτύξουν μια νέα οικογένεια κακόβουλου λογισμικού που ονομάζεται EtherRAT.
Από τις 30 Δεκεμβρίου, το Ίδρυμα Shadowserver αναφέρει ότι έχει ολοκληρωθεί 94.000 περιουσιακά στοιχεία που εκτίθενται στο διαδίκτυο ευάλωτο στο React2Shell.
CloudSEK λέει ότι το RondoDox έχει περάσει από τρεις διακριτές λειτουργικές φάσεις φέτος:
- Δοκιμές αναγνώρισης και τρωτότητας από τον Μάρτιο έως τον Απρίλιο του 2025
- Αυτοματοποιημένη εκμετάλλευση εφαρμογών ιστού από τον Απρίλιο έως τον Ιούνιο του 2025
- Ανάπτυξη botnet IoT μεγάλης κλίμακας από τον Ιούλιο έως σήμερα
Όσον αφορά το React2Shell, οι ερευνητές αναφέρουν ότι η RondoDox έχει επικεντρώσει την εκμετάλλευσή της γύρω από το ελάττωμα σημαντικά τελευταία, ξεκινώντας περισσότερες από 40 προσπάθειες εκμετάλλευσης μέσα σε έξι ημέρες τον Δεκέμβριο.
Κατά τη διάρκεια αυτής της φάσης λειτουργίας, το botnet διεξάγει ωριαία κύματα εκμετάλλευσης IoT που στοχεύουν τα Linksys, Wavlink και άλλους δρομολογητές καταναλωτών και επιχειρήσεων για την εγγραφή νέων bot.
Αφού διερεύνησε πιθανώς ευάλωτους διακομιστές, το CloudSEK λέει ότι το RoundDox άρχισε να αναπτύσσει ωφέλιμα φορτία που περιελάμβαναν ένα coinminer (/nuts/poop), έναν φορτωτή botnet και έναν έλεγχο υγείας (/nuts/bolts) και μια παραλλαγή του Mirai (/nuts/x86).
Το στοιχείο «bolts» αφαιρεί ανταγωνιστικό κακόβουλο λογισμικό botnet από τον κεντρικό υπολογιστή, επιβάλλει την επιμονή μέσω του /etc/crontab και σκοτώνει διαδικασίες που δεν είναι στη λίστα επιτρεπόμενων κάθε 45 δευτερόλεπτα, λένε οι ερευνητές.
Το CloudSEK παρέχει ένα σύνολο προτάσεων για τις εταιρείες για προστασία από αυτήν τη δραστηριότητα RondoDox, μεταξύ των οποίων έλεγχος και επιδιόρθωση των ενεργειών διακομιστή Next.js, απομόνωση συσκευών IoT σε αποκλειστικά εικονικά LAN και παρακολούθηση για ύποπτες διεργασίες που εκτελούνται.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
