网络安全研究人员披露了一项持续九个月的攻击活动细节。攻击者通过入侵物联网设备与Web应用,将它们纳入一个名为RondoDox的僵尸网络。根据CloudSEK的分析报告,截至2025年12月,攻击者正利用新披露的React2Shell漏洞(CVE-2025-55182,CVSS评分为10.0满分)作为初始入侵的突破口。
高危漏洞影响范围
React2Shell是React Server Components和Next.js框架中的一个关键安全漏洞,它允许未经身份验证的攻击者在受影响的设备上执行远程代码。根据Shadowserver基金会的统计数据,截至2025年12月31日,全球范围内仍有大约90,300个实例暴露在此漏洞的风险之下。其中,美国占68,400个,德国(4,300个)、法国(2,800个)和印度(1,500个)紧随其后。
僵尸网络演进过程
RondoDox僵尸网络自2025年初出现以来,通过整合包括CVE-2023-1389和CVE-2025-24893在内的多个已被披露的漏洞,不断扩大其攻击规模。值得关注的是,安全公司Darktrace、卡巴斯基和VulnCheck此前已发出预警,指出有攻击者正在滥用React2Shell漏洞传播僵尸网络。
在利用CVE-2025-55182之前,该僵尸网络的攻击活动大致经历了三个阶段:
- 2025年3-4月:进行初始侦察与手动漏洞扫描。
- 2025年4-6月:每日对WordPress、Drupal、Struts2等Web应用以及Wavlink路由器等物联网设备进行大规模漏洞探测。
- 2025年7月至12月初:升级为每小时执行一次的自动化大规模部署。
最新攻击技术细节
在2025年12月检测到的攻击中,威胁分子首先扫描存在漏洞的Next.js服务器。成功入侵后,他们会尝试投递多种恶意负载,包括加密货币挖矿程序(路径为/nuts/poop)、僵尸网络加载器与健康检查工具(/nuts/bolts)以及Mirai僵尸网络变种(/nuts/x86)。
其中,/nuts/bolts模块扮演了“清道夫”的角色。它在从命令与控制服务器下载主僵尸程序之前,会先终止其他竞品恶意软件和挖矿进程。该工具的某个变种会执行深度清理,清除已知的僵尸网络、基于Docker的有效载荷、历史攻击残留文件及相关定时任务。同时,它通过修改/etc/crontab文件来建立持久化机制。
CloudSEK分析指出:“该模块持续扫描/proc目录以枚举正在运行的可执行文件,并每45秒终止一次非白名单进程,这有效地防止了其他攻击者的重复感染。”
防护与缓解建议
为了应对RondoDox僵尸网络及其利用的React2Shell漏洞带来的威胁,建议企业和组织采取以下防护措施:
- 立即升级:将所有受影响的Next.js应用升级至已修复该漏洞的版本。
- 网络隔离:将所有物联网设备划分至专用的VLAN中,限制其网络访问权限。
- 部署WAF:在Web服务器前端部署Web应用防火墙,以过滤恶意请求。
- 加强监控:实施严格的进程行为监控,及时发现并终止可疑活动。
- 阻断通信:在网络边界封锁已知的僵尸网络命令与控制基础设施。
通过综合运用这些安全防护措施,可以大幅降低系统被此类攻击侵害的风险。对于使用前端框架的开发者而言,保持框架和依赖库的及时更新是至关重要的安全实践。
参考来源:
RondoDox Botnet Exploits Critical React2Shell Flaw to Hijack IoT Devices and Web Servers
https://thehackernews.com/2026/01/rondodox-botnet-exploits-critical.html
本文涉及的安全威胁动态值得广大开发者与运维人员关注。更多深度的技术分析与安全讨论,欢迎访问 云栈社区 进行交流。 | 
发表于 4 天前
|
查看: 11|
回复: 0
