យុទ្ធនាការវាយប្រហារ RondoDox Botnet IoT
អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការដ៏យូរអង្វែងមួយដែលមានរយៈពេលប្រហែលប្រាំបួនខែ ដែលបានកំណត់គោលដៅយ៉ាងសកម្មទៅលើឧបករណ៍អ៊ីនធឺណិតនៃវត្ថុ (IoT) និងកម្មវិធីគេហទំព័រ។ គោលបំណងនៃប្រតិបត្តិការនេះគឺដើម្បីបញ្ចូលប្រព័ន្ធងាយរងគ្រោះទៅក្នុងបណ្តាញ botnet ដែលមានឈ្មោះថា RondoDox ដែលបង្ហាញពីការអត់ធ្មត់ និងភាពចាស់ទុំផ្នែកប្រតិបត្តិការរបស់អ្នកវាយប្រហារ។
តារាងមាតិកា
React2Shell៖ ចំណុចចូលសំខាន់
គិតត្រឹមខែធ្នូ ឆ្នាំ២០២៥ ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញយុទ្ធនាការនេះកេងប្រវ័ញ្ច React2Shell (CVE-2025-55182) ជាយន្តការចូលប្រើដំបូងចម្បងរបស់វា។ ភាពងាយរងគ្រោះដ៏សំខាន់នេះ ដែលមានពិន្ទុ CVSS 10.0 ប៉ះពាល់ដល់ការអនុវត្ត React Server Components (RSC) និង Next.js។ នៅពេលដែលមិនបានជួសជុល វាអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយដោយមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងពេញលេញលើប្រព័ន្ធដែលប៉ះពាល់។
ការប៉ះពាល់ក្នុងទ្រង់ទ្រាយធំ៖ ផលប៉ះពាល់សកល
ទិន្នន័យទូរមាត្រដែលប្រមូលបានរហូតដល់ចុងខែធ្នូ ឆ្នាំ២០២៥ បង្ហាញថា មានឧទាហរណ៍ងាយរងគ្រោះប្រហែល ៩០,៣០០ នៅតែត្រូវបានប៉ះពាល់នៅទូទាំងពិភពលោក។ ភាគច្រើនមានទីតាំងនៅសហរដ្ឋអាមេរិក ដែលមានចំនួនប្រហែល ៦៨,៤០០ ប្រព័ន្ធ។ តំបន់ដែលរងផលប៉ះពាល់ខ្លាំងផ្សេងទៀតរួមមានប្រទេសអាល្លឺម៉ង់ដែលមានឧទាហរណ៍ប្រហែល ៤,៣០០ ប្រទេសបារាំងដែលមាន ២,៨០០ និងប្រទេសឥណ្ឌាដែលមាន ១,៥០០ ដែលបញ្ជាក់ពីវិសាលភាពទូទាំងពិភពលោកនៃបញ្ហានេះ។
RondoDox វិវត្តន៍ឃ្លាំងអាវុធកេងប្រវ័ញ្ចរបស់ខ្លួន
ត្រូវបានរកឃើញជាលើកដំបូងនៅដើមឆ្នាំ ២០២៥ RondoDox បានពង្រីកសមត្ថភាពរបស់ខ្លួនជាលំដាប់ដោយបញ្ចូលភាពងាយរងគ្រោះ N-day បន្ថែមទៅក្នុងឧបករណ៍កេងប្រវ័ញ្ចរបស់ខ្លួន។ ទាំងនេះរួមមាន CVE-2023-1389 និង CVE-2025-24893។ របាយការណ៍មុនបានព្រមានរួចហើយអំពីការប្រើប្រាស់ React2Shell របស់ botnet ដោយបានបង្ហាញពីនិន្នាការនៃការប្រើអាវុធយ៉ាងឆាប់រហ័សនៃចំណុចខ្សោយដែលទើបបង្ហាញថ្មីៗ។
ដំណាក់កាលបីនៃការកើនឡើង
មុនពេលប្រើប្រាស់ CVE-2025-55182 ជាអាវុធ យុទ្ធនាការ RondoDox បានរីកចម្រើនតាមរយៈវដ្តនៃការកើនឡើងដែលមានរចនាសម្ព័ន្ធ៖
ខែមីនា-មេសា ឆ្នាំ២០២៥ ៖ ការឈ្លបយកការណ៍ផ្តោតសំខាន់ រួមផ្សំជាមួយនឹងការរកឃើញ និងការធ្វើតេស្តភាពងាយរងគ្រោះដោយដៃ។
ខែមេសា ដល់ មិថុនា ឆ្នាំ២០២៥ ៖ ការស៊ើបអង្កេតទ្រង់ទ្រាយធំជារៀងរាល់ថ្ងៃ លើវេទិកាគេហទំព័រទូទៅដូចជា WordPress, Drupal និង Struts2 រួមជាមួយនឹងផ្នែករឹង IoT រួមទាំងរ៉ោតទ័រ Wavlink។
ខែកក្កដា – ដើមខែធ្នូ ឆ្នាំ២០២៥ ៖ ការដាក់ពង្រាយដោយស្វ័យប្រវត្តិយ៉ាងពេញលេញជារៀងរាល់ម៉ោង ដែលត្រូវបានរចនាឡើងសម្រាប់ការឈានដល់កម្រិតអតិបរមា និងស្ថេរភាព។
ការវាយប្រហារខែធ្នូ៖ បន្ទុក និងការតស៊ូ
ក្នុងអំឡុងពេលសកម្មភាពដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងខែធ្នូ ឆ្នាំ២០២៥ ភ្នាក់ងារគំរាមកំហែងបានស្កេនរកម៉ាស៊ីនមេ Next.js ដែលលាតត្រដាង ហើយបានព្យាយាមដាក់ពង្រាយសមាសធាតុព្យាបាទជាច្រើន។ ទាំងនេះរួមមានឧបករណ៍ជីកយករូបិយប័ណ្ណគ្រីបតូ ឧបករណ៍ផ្ទុក botnet និងឧបករណ៍ពិនិត្យសុខភាព និងវ៉ារ្យ៉ង់ botnet ដែលមានមូលដ្ឋានលើ Mirai ដែលត្រូវបានរចនាឡើងសម្រាប់ប្រព័ន្ធ x86។
សមាសធាតុសំខាន់មួយគឺ '/nuts/bolts' ដើរតួនាទីការពារសម្រាប់អ្នកវាយប្រហារ។ វាបញ្ឈប់មេរោគ និងកម្មវិធីជីកយកកាក់ដែលប្រកួតប្រជែងជាប្រព័ន្ធ មុនពេលទាញយកប្រព័ន្ធគោលពីរ bot ចម្បងពីហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ (C2) របស់វា។ វ៉ារ្យ៉ង់ដែលបានកំណត់អត្តសញ្ញាណមួយសម្អាតម៉ាស៊ីនដែលឆ្លងមេរោគយ៉ាងសកម្មដោយការលុបដាននៃ botnet គូប្រជែង បន្ទុកដែលមានមូលដ្ឋានលើ Docker សំណល់នៃយុទ្ធនាការមុនៗ និងការងារ cron ដែលពាក់ព័ន្ធ ខណៈពេលដែលបង្កើតស្ថេរភាពក្នុងពេលដំណាលគ្នាតាមរយៈការកែប្រែទៅ /etc/crontab។
មេរោគនេះអនុវត្តបន្ថែមទៀតនូវភាពផ្តាច់មុខដោយការស្កេនប្រព័ន្ធឯកសារ /proc ជាបន្តបន្ទាប់ ដើម្បីកំណត់អត្តសញ្ញាណឯកសារដែលអាចប្រតិបត្តិបានសកម្ម ដោយបញ្ចប់ដំណើរការណាមួយដែលមិនមែនជាបញ្ជីសប្រហែលរៀងរាល់ 45 វិនាទីម្តង។ ឥរិយាបថនេះរារាំងការប៉ុនប៉ងឆ្លងមេរោគឡើងវិញដោយអ្នកគំរាមកំហែងផ្សេងទៀត។
ការកាត់បន្ថយហានិភ័យ និងការកំណត់ការប៉ះពាល់
ដើម្បីទប់ទល់នឹងការគំរាមកំហែងដែលបង្កឡើងដោយ RondoDox ក្រុមសន្តិសុខគួរតែអនុម័តយុទ្ធសាស្ត្រការពារជាស្រទាប់ៗ៖
- ធ្វើការអាប់ដេតការដាក់ពង្រាយ Next.js ទៅជាកំណែដែលបានជួសជុលពេញលេញជាបន្ទាន់ ដោយដោះស្រាយជាមួយ CVE-2025-55182។
- ញែកឧបករណ៍ IoT នៅក្នុង VLAN ដែលឧទ្ទិសដល់ការកំណត់ចលនាចំហៀង។
- អនុវត្ត Web Application Firewalls (WAFs) និងតាមដានជាបន្តបន្ទាប់សម្រាប់ការប្រតិបត្តិដំណើរការមិនប្រក្រតី។
- រារាំងហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យដែលគេស្គាល់ដែលទាក់ទងនឹង botnet យ៉ាងសកម្ម។
ប្រសិនបើយើងពិចារណារួមគ្នា វិធានការទាំងនេះកាត់បន្ថយយ៉ាងច្រើននូវលទ្ធភាពនៃការសម្របសម្រួល និងជួយទប់ស្កាត់ផលប៉ះពាល់នៃសកម្មភាព botnet ដែលកំពុងបន្ត។
