🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha persistente de nove meses que tem como alvo dispositivos e aplicativos da Internet da Internet das Coisas (IoT) para inscrevê-los em uma botnet conhecida como RondoDox.
Em dezembro de 2025, a atividade foi observada aproveitando a falha recentemente divulgada React2Shell (CVE-2025-55182, pontuação CVSS: 10,0) como vetor de acesso inicial, disse CloudSEK em uma análise.
React2Shell é o nome atribuído a uma vulnerabilidade crítica de segurança em React Server Components (RSC) e Next.js que pode permitir que invasores não autenticados obtenham execução remota de código em dispositivos suscetíveis.
De acordo com estatísticas da Shadowserver Foundation, existem cerca de 90.300 instâncias que permanecem suscetíveis à vulnerabilidade em 31 de dezembro de 2025, das quais 68.400 instâncias estão localizadas nos EUA, seguidos pela Alemanha (4.300), França (2.800) e Índia (1.500).
RondoDox, que surgiu no início de 2025, ampliou sua escala adicionando novas vulnerabilidades de segurança de N dias ao seu arsenal, incluindo CVE-2023-1389 e CVE-2025-24893. É importante notar que o abuso do React2Shell para espalhar o botnet foi anteriormente destacado pela Darktrace, Kaspersky e VulnCheck.
A campanha do botnet RondoDox foi avaliada como tendo passado por três fases distintas antes da exploração de CVE-2025-55182 -
Março - abril de 2025 – Reconhecimento inicial e verificação manual de vulnerabilidades
Abril - junho de 2025 - Sondagem diária de vulnerabilidades em massa de aplicativos da web como WordPress, Drupal e Struts2, e dispositivos IoT como roteadores Wavlink
Julho - início de dezembro de 2025 - Implantação automatizada por hora em grande escala
Nos ataques detectados em dezembro de 2025, os atores da ameaça teriam iniciado varreduras para identificar servidores Next.js vulneráveis, seguidas por tentativas de derrubar mineradores de criptomoedas ("/nuts/poop"), um carregador de botnet e verificador de integridade ("/nuts/bolts") e uma variante de botnet Mirai ("/nuts/x86") em dispositivos infectados.
"/nuts/bolts" foi projetado para eliminar malwares concorrentes e mineradores de moedas antes de baixar o binário principal do bot de seu servidor de comando e controle (C2). Descobriu-se que uma variante da ferramenta remove botnets conhecidos, cargas úteis baseadas em Docker, artefatos deixados de campanhas anteriores e cron jobs associados, ao mesmo tempo que configura a persistência usando "/etc/crontab".
“Ele verifica /proc continuamente para enumerar executáveis em execução e elimina processos não incluídos na lista de permissões a cada aproximadamente 45 segundos, evitando efetivamente a reinfecção por atores rivais”, disse CloudSEK.
Para mitigar o risco representado por esta ameaça, as organizações são aconselhadas a atualizar o Next.js para uma versão corrigida o mais rápido possível, segmentar todos os dispositivos IoT em VLANs dedicadas, implantar Web Application Firewalls (WAFs), monitorar a execução de processos suspeitos e bloquear a infraestrutura C2 conhecida.
Em dezembro de 2025, a atividade foi observada aproveitando a falha recentemente divulgada React2Shell (CVE-2025-55182, pontuação CVSS: 10,0) como vetor de acesso inicial, disse CloudSEK em uma análise.
React2Shell é o nome atribuído a uma vulnerabilidade crítica de segurança em React Server Components (RSC) e Next.js que pode permitir que invasores não autenticados obtenham execução remota de código em dispositivos suscetíveis.
De acordo com estatísticas da Shadowserver Foundation, existem cerca de 90.300 instâncias que permanecem suscetíveis à vulnerabilidade em 31 de dezembro de 2025, das quais 68.400 instâncias estão localizadas nos EUA, seguidos pela Alemanha (4.300), França (2.800) e Índia (1.500).
RondoDox, que surgiu no início de 2025, ampliou sua escala adicionando novas vulnerabilidades de segurança de N dias ao seu arsenal, incluindo CVE-2023-1389 e CVE-2025-24893. É importante notar que o abuso do React2Shell para espalhar o botnet foi anteriormente destacado pela Darktrace, Kaspersky e VulnCheck.
A campanha do botnet RondoDox foi avaliada como tendo passado por três fases distintas antes da exploração de CVE-2025-55182 -
Março - abril de 2025 – Reconhecimento inicial e verificação manual de vulnerabilidades
Abril - junho de 2025 - Sondagem diária de vulnerabilidades em massa de aplicativos da web como WordPress, Drupal e Struts2, e dispositivos IoT como roteadores Wavlink
Julho - início de dezembro de 2025 - Implantação automatizada por hora em grande escala
Nos ataques detectados em dezembro de 2025, os atores da ameaça teriam iniciado varreduras para identificar servidores Next.js vulneráveis, seguidas por tentativas de derrubar mineradores de criptomoedas ("/nuts/poop"), um carregador de botnet e verificador de integridade ("/nuts/bolts") e uma variante de botnet Mirai ("/nuts/x86") em dispositivos infectados.
"/nuts/bolts" foi projetado para eliminar malwares concorrentes e mineradores de moedas antes de baixar o binário principal do bot de seu servidor de comando e controle (C2). Descobriu-se que uma variante da ferramenta remove botnets conhecidos, cargas úteis baseadas em Docker, artefatos deixados de campanhas anteriores e cron jobs associados, ao mesmo tempo que configura a persistência usando "/etc/crontab".
“Ele verifica /proc continuamente para enumerar executáveis em execução e elimina processos não incluídos na lista de permissões a cada aproximadamente 45 segundos, evitando efetivamente a reinfecção por atores rivais”, disse CloudSEK.
Para mitigar o risco representado por esta ameaça, as organizações são aconselhadas a atualizar o Next.js para uma versão corrigida o mais rápido possível, segmentar todos os dispositivos IoT em VLANs dedicadas, implantar Web Application Firewalls (WAFs), monitorar a execução de processos suspeitos e bloquear a infraestrutura C2 conhecida.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #rondodox #botnet #explora #falha #crítica #do #react2shell #para #sequestrar #dispositivos #iot #e #servidores #web
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário