RondoDox Botnet IoT Saldırı Kampanyası
Siber güvenlik analistleri, yaklaşık dokuz ay süren ve Nesnelerin İnterneti (IoT) cihazlarını ve web uygulamalarını aktif olarak hedef alan son derece ısrarlı bir saldırı kampanyasını ortaya çıkardı. Bu operasyonun amacı, savunmasız sistemleri RondoDox adı verilen bir botnet'e dahil etmekti; bu da saldırganların hem sabırlı hem de operasyonel olgunluğunu gösteriyor.
İçindekiler
React2Shell: Kritik Giriş Noktası
Aralık 2025 itibarıyla araştırmacılar, saldırı kampanyasının birincil ilk erişim mekanizması olarak React2Shell'i (CVE-2025-55182) kullandığını gözlemledi. CVSS puanı 10.0 olan bu kritik güvenlik açığı, React Sunucu Bileşenlerini (RSC) ve Next.js uygulamalarını etkiliyor. Yama yapılmadığında, kimlik doğrulaması gerektirmeyen uzaktan kod yürütülmesine izin vererek, saldırganlara açık sistemler üzerinde tam kontrol sağlıyor.
Geniş Ölçekli Tanıtım: Küresel Etki
Aralık 2025 sonuna kadar toplanan telemetri verileri, dünya çapında yaklaşık 90.300 savunmasız sistemin hala açıkta olduğunu göstermektedir. Bunların büyük çoğunluğu, yaklaşık 68.400 sistemle Amerika Birleşik Devletleri'nde bulunmaktadır. Etkilenen diğer önemli bölgeler arasında yaklaşık 4.300 sistemle Almanya, 2.800 sistemle Fransa ve 1.500 sistemle Hindistan yer almaktadır; bu da sorunun küresel boyutunu vurgulamaktadır.
RondoDox Saldırı Cephaneliğini Geliştiriyor
İlk olarak 2025 yılının başlarında tespit edilen RondoDox, istismar araç setine ek N-günlük güvenlik açıkları ekleyerek yeteneklerini istikrarlı bir şekilde genişletti. Bunlar arasında CVE-2023-1389 ve CVE-2025-24893 yer alıyor. Daha önceki haberlerde botnet'in React2Shell kullandığına dair uyarılar yer almış ve yeni açıklanan güvenlik açıklarının hızla silah haline getirilmesi eğilimi vurgulanmıştı.
Gerilimin Üç Aşaması
CVE-2025-55182'yi silah haline getirmeden önce, RondoDox kampanyası yapılandırılmış bir tırmanma döngüsünden geçti:
Mart-Nisan 2025 : Odaklanmış keşif çalışmaları, manuel güvenlik açığı tespiti ve testleriyle birlikte yürütülecektir.
Nisan–Haziran 2025 : WordPress, Drupal ve Struts2 gibi yaygın web platformlarının yanı sıra Wavlink yönlendiricileri de dahil olmak üzere IoT donanımlarının günlük, geniş ölçekli incelenmesi.
Temmuz-Aralık 2025 başı : Maksimum erişim ve kalıcılık için tasarlanmış, tamamen otomatik, saatlik dağıtım.
Aralık Saldırıları: Yükler ve Kalıcılık
Aralık 2025'te gözlemlenen faaliyet sırasında, tehdit aktörleri açıkta bulunan Next.js sunucularını taradı ve birden fazla kötü amaçlı bileşeni dağıtmaya çalıştı. Bunlar arasında kripto para madencileri, bir botnet yükleyici ve sağlık kontrol aracı ile x86 sistemleri için uyarlanmış Mirai tabanlı bir botnet varyantı yer alıyordu.
Saldırganlar için savunma görevi gören önemli bir bileşen olan '/nuts/bolts', rakip kötü amaçlı yazılımları ve kripto para madencilerini sistematik olarak sonlandırır ve ardından komuta ve kontrol (C2) altyapısından birincil bot ikili dosyasını alır. Tanımlanan bir varyant, rakip botnet'lerin izlerini, Docker tabanlı yükleri, önceki kampanyaların kalıntılarını ve ilgili cron işlerini kaldırarak enfekte olmuş sunucuları agresif bir şekilde temizlerken, aynı zamanda /etc/crontab'da yapılan değişiklikler yoluyla kalıcılık sağlar.
Bu kötü amaçlı yazılım, aktif yürütülebilir dosyaları belirlemek için /proc dosya sistemini sürekli tarayarak ve beyaz listeye alınmamış tüm işlemleri yaklaşık her 45 saniyede bir sonlandırarak ayrıcalığı daha da güçlendirir. Bu davranış, diğer tehdit aktörlerinin yeniden bulaşma girişimlerini etkili bir şekilde engeller.
Riski Azaltmak ve Maruz Kalmayı Sınırlamak
RondoDox'un oluşturduğu tehdide karşı koymak için güvenlik ekipleri katmanlı bir savunma stratejisi benimsemelidir:
- Next.js dağıtımlarını, CVE-2025-55182 açığını gideren tam yamalı sürümlere derhal yükseltin.
- IoT cihazlarını yatay hareketlerini sınırlamak için özel VLAN'lar içinde izole edin.
- Web Uygulama Güvenlik Duvarlarını (WAF) uygulayın ve anormal süreç yürütmelerini sürekli olarak izleyin.
- Botnet ile ilişkili bilinen komuta ve kontrol altyapısını proaktif olarak engelleyin.
Bu önlemlerin bir araya getirilmesi, güvenlik ihlali olasılığını önemli ölçüde azaltır ve devam eden botnet faaliyetlerinin etkisini kontrol altına almaya yardımcı olur.
