RondoDox botnet React2Shell kihasználással
A CloudSEK elemzése szerint a RondoDox botnet 2025 márciusától folyamatosan aktív, és már a React2Shell (CVE-2025-55182 / EUVD-2025-200983) néven ismert, kritikus Next.js-sebezhetőség is aktívan alkalmazza. A React2Shell egy hitelesítés nélkül kihasználható, távoli kódvégrehajtásra alkalmas hiba, amely a React Server Components (RSC) Flight protokollt implementáló keretrendszereket, például a Next.js-t érinti. A támadók egy egyszerű HTTP-kérés segítségével képesek káros kódot futtatni a sérülékeny szerveren, anélkül, hogy bármilyen előzetes hitelesítésre vagy felhasználói interakcióra lenne szükség.
A RondoDox botnet december 8-án kezdte el szkennelni a sérülékeny Next.js-szervereket, és már három nappal később megkezdte a kártevők telepítését. A botnet nem csak a React2Shell-t használja, folyamatosan bővíti eszköztárát, és párhuzamosan IoT-eszközöket, például Linksys és Wavlink útválasztókat is célba veszi, hogy új botokat toborozzon. A CloudSEK szerint a RondoDox decemberben hat nap alatt több mint 40 sikeres kihasználási kísérletet hajtott végre, és a botnet mostanra már kriptopénzbányász programok, botnet-loaderek és a híres Mirai botnet egy változata is telepítésre kerül a fertőzött rendszereken.
A React2Shell sebezhetőség különösen veszélyes, mert a támadók számára minimális erőfeszítéssel maximális hatást érhetnek el, a hiba kihasználása után a rendszeren belül futó folyamatokat is képesek manipulálni, és a botnet folyamatosan monitorozza, illetve védekezik más, rivális kártevők ellen is. A biztonsági szakemberek szerint a védekezés kulcsa a Next.js Server Actions frissítése, az IoT-eszközök szegmentálása, valamint a gyanús folyamatok és hálózati forgalom állandó monitorozása. A Shadowserver Foundation adatai szerint december végén több mint 94 ezer internetre kapcsolódó eszköz volt sérülékeny a React2Shell-re, így a veszély továbbra is fennáll, és a cégeknek sürgősen kell cselekedniük.
