Botnet RondoDox lợi dụng lỗ hổng React2Shell đẩy hàng chục nghìn máy chủ vào nguy hiểm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.475 bài viết
Botnet RondoDox lợi dụng lỗ hổng React2Shell đẩy hàng chục nghìn máy chủ vào nguy hiểm
WhiteHat Team
Một chiến dịch tấn công mạng quy mô lớn, âm thầm nhưng kéo dài suốt chín tháng, vừa được các chuyên gia an ninh mạng phanh phui. Chiến dịch này nhắm vào thiết bị IoT và các ứng dụng web phổ biến, lợi dụng nhiều lỗ hổng nghiêm trọng để biến hệ thống nạn nhân thành một phần của botnet RondoDox. Đáng chú ý, trong giai đoạn cuối năm 2025, tin tặc đã nhanh chóng tận dụng lỗ hổng React2Shell (CVE-2025-55182) trong hệ sinh thái React Server Components và Next.js, đẩy rủi ro an ninh mạng lên mức báo động.
1767588421673.png

Theo báo cáo phân tích của các chuyên gia an ninh mạng, RondoDox là một botnet xuất hiện từ đầu năm 2025, ban đầu hoạt động với quy mô hạn chế nhưng sau đó nhanh chóng mở rộng bằng cách liên tục bổ sung các lỗ hổng N-day vào kho vũ khí tấn công.

Các tổ chức nghiên cứu độc lập như Darktrace, Kaspersky và VulnCheck cũng từng ghi nhận hoạt động của RondoDox, đặc biệt là việc khai thác lỗ hổng React2Shell ngay sau khi thông tin kỹ thuật vừa được công bố. Điều này cho thấy tin tặc không chỉ theo dõi sát sao cộng đồng bảo mật mà còn có khả năng vũ khí hóa lỗ hổng với tốc độ rất nhanh.

Dữ liệu từ Shadowserver Foundation cho thấy, tính đến cuối tháng 12/2025, có khoảng 90.300 máy chủ vẫn dễ bị tổn thương bởi lỗ hổng này, trong đó 68.400 máy chủ nằm ở Mỹ, tiếp theo là Đức (4.300), Pháp (2.800) và Ấn Độ (1.500).​

Quá trình khai thác và cách RondoDox vận hành​

Theo CloudSEK, chiến dịch RondoDox không bùng phát ngay lập tức mà được triển khai theo từng giai đoạn rõ ràng.

Giai đoạn đầu, từ tháng 3 đến tháng 4/2025, tin tặc tiến hành do thám thủ công, rà soát các hệ thống có khả năng tồn tại lỗ hổng. Sau đó, từ tháng 4 đến tháng 6, chiến dịch chuyển sang quét tự động hàng loạt, nhắm vào các nền tảng web phổ biến như WordPress, Drupal, Struts2 và các thiết bị IoT như router Wavlink.

Đến giai đoạn cuối, từ tháng 7 đến đầu tháng 12/2025, hoạt động tấn công được tự động hóa hoàn toàn, với tần suất theo giờ và quy mô lớn. Khi lỗ hổng React2Shell được công bố, nó nhanh chóng trở thành điểm xâm nhập chính.

Trong các cuộc tấn công ghi nhận vào tháng 12/2025, RondoDox triển khai nhiều payload khác nhau:​
  • Một trình đào tiền mã hóa​
  • Một công cụ nạp botnet và kiểm tra tình trạng hệ thống​
  • Một biến thể của Mirai botnet, nhắm vào thiết bị IoT​
Đặc biệt, module có tên “/nuts/bolts” đóng vai trò “dọn đường”, nó chủ động xóa bỏ các mã độc và botnet cạnh tranh, dừng các tiến trình lạ và thiết lập cơ chế tồn tại lâu dài thông qua cron job hệ thống. Cứ mỗi khoảng thời gian ngắn, công cụ này lại quét danh sách tiến trình đang chạy và tiêu diệt mọi thứ không nằm trong danh sách cho phép, khiến nạn nhân gần như không có cơ hội “giành lại quyền kiểm soát”.​

Rủi ro và hậu quả đối với người dùng​

Việc một hệ thống bị đưa vào botnet RondoDox không chỉ gây ảnh hưởng cục bộ mà còn kéo theo nhiều rủi ro nghiêm trọng:​
  • Máy chủ và thiết bị IoT bị chiếm quyền điều khiển từ xa​
  • Tài nguyên hệ thống bị khai thác để đào tiền mã hóa, gây giảm hiệu năng và tăng chi phí vận hành​
  • Thiết bị bị lợi dụng để tham gia các cuộc tấn công DDoS hoặc phát tán mã độc sang mục tiêu khác​
  • Nguy cơ rò rỉ dữ liệu và bị xâm nhập sâu hơn vào hạ tầng nội bộ​
Đối với doanh nghiệp, đặc biệt là các đơn vị vận hành website, nền tảng dịch vụ hoặc hệ thống IoT, hậu quả có thể dẫn tới gián đoạn dịch vụ, tổn thất tài chính và mất uy tín nghiêm trọng.​

Phạm vi và mức độ ảnh hưởng​

Số lượng hệ thống dễ bị tấn công lên tới hàng chục nghìn, phân bố trên nhiều quốc gia, cho thấy đây không phải là một chiến dịch nhỏ lẻ. Việc tập trung vào Next.js, một framework đang được sử dụng rộng rãi, càng làm gia tăng nguy cơ lan rộng nếu người quản trị chậm trễ cập nhật bản vá.​

Khuyến nghị và giải pháp phòng tránh​

Các chuyên gia an ninh mạng khuyến cáo:​
  • Cập nhật Next.js và các thành phần React Server Components lên phiên bản đã được vá lỗ hổng​
  • Rà soát toàn bộ hệ thống để phát hiện dấu hiệu thực thi tiến trình bất thường​
  • Triển khai Web Application Firewall (WAF) để chặn các yêu cầu khai thác lỗ hổng​
  • Cô lập thiết bị IoT vào các VLAN riêng, hạn chế khả năng lan truyền khi bị xâm nhập​
  • Theo dõi và chặn các địa chỉ máy chủ điều khiển (C2) đã được nhận diện​
  • Thường xuyên kiểm tra cron job, service nền và các file cấu hình hệ thống​
Chiến dịch RondoDox cho thấy một thực tế đáng lo ngại, khoảng trống giữa lúc lỗ hổng được công bố và khi hệ thống được vá đang bị tin tặc khai thác triệt để. React2Shell không chỉ là một lỗi kỹ thuật mà là lời cảnh báo rõ ràng về rủi ro khi các nền tảng phổ biến trở thành mục tiêu tấn công diện rộng. Việc chủ động cập nhật, giám sát và phân tách hạ tầng không còn là khuyến nghị mà còn là yêu cầu bắt buộc nếu muốn bảo vệ hệ thống trước các chiến dịch botnet ngày càng tinh vi.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • ShadowRay 2.0 khai thác lỗ hổng Ray biến GPU thành botnet đa chức năng
  • Cuộc “đổ bộ” của botnet: PHP server, IoT và cloud bị tấn công hàng loạt
  • Từ GeoServer đến Gayfemboy: Chiến dịch mới đưa botnet IoT lên tầm cao mới
  • Cảnh báo: Thiết bị IoT GeoVision cũ đang bị botnet Mirai khai thác lỗ hổng!
  • BADBOX - Botnet mã độc đáng ngờ cài sẵn trên thiết bị Android
  • Botnet MyloBot lây nhiễm hơn 50.000 thiết bị mỗi ngày
    • Thẻ
    botnet next.js payload react server components rondodox
    Bên trên