RondoDoxボットネット、React2Shellの悪用で活動範囲を拡大

出典：Sleepy Fellow（Alamy Stock Photo経由）

RondoDoxボットネットの背後にいる脅威アクターは、React2Shellの欠陥を悪用する最新の攻撃者の一つだ。彼らはこの脆弱性を初期侵入ベクターとして武器化し、暗号資産マイナーやMiraiベースのボットネット亜種など、他の悪性ペイロードを展開している。

CloudSEKの研究者は、標的化が非常に進んだReactのオープンソースソフトウェアの欠陥（CVE-2025-55182として追跡され、Next.jsプラットフォームにも影響する）を悪用するボットネット活動が増加していることに気づいた。彼らは、12月に始まった攻撃について、最近のブログ投稿で明らかにしている。これらの攻撃は、昨春に出現して以来のRondoDox活動の急増の一部であり、企業およびモノのインターネット（IoT）デバイスとネットワークにとって重大な脅威となっている。

「Next.js Server Actions（特にプロトタイプ汚染攻撃に脆弱なバージョン）を運用する企業は、最近、実際の悪用が観測されていることから、重大なRCE（リモートコード実行）露出に直面している」と投稿は述べている。「この脆弱性は、Server Actionsにおけるデシリアライズの欠陥を通じて、サーバーを完全に侵害できる。」

同様にこの活動を追跡しているRewterzの研究者によれば、RondoDoxは脆弱なNext.jsサーバーを能動的かつ継続的にスキャンし、複数のペイロードを展開している。これらのペイロードには、暗号資産マイナー、ボットネットローダーとヘルスチェック用コンポーネント、そしてMiraiベースのボットネット亜種が含まれるという。これは元日に公開されたブログ投稿で報告された。Rewterzによると、世界中で約90,300件の脆弱なサーバーインスタンスが露出しており、その大半は米国に所在し、次いでドイツ、フランス、インドが続く。

さらにRewterzによれば、このボットネットはローダーモジュールを放ち、「競合するマルウェアを積極的に排除し、45秒ごとにホワイトリストにないプロセスを終了させ、cronジョブで永続化を確立し、競合アクターによる再感染を防ぐ」という。

RondoDoxの広範な影響

RondoDoxは、Fortiguard Labsによって発見され、5月に脅威ランドスケープ上で初めて姿を現した。比較的人気のあるデジタルビデオレコーダー（DVR）とルーターに対し、それぞれ重大度「クリティカル」と「高」のn-day脆弱性を1件ずつ悪用していた。

このボットネットは夏の間も拡大を続け、現在ではMiraiおよびMorteのIoTマルウェアファミリー向けのローダーとしても機能している。ルーター、DVR、ネットワークビデオレコーダー（NVR）、Webサーバー、CCTVシステムなど、世界中のさまざまなネットワーク機器に存在する約60件の欠陥を悪用できる能力を備えると、Trend Microは10月のレポートで明らかにした。

CloudSEKは、現在の活動はボットネットの急速な拡大を示しており、IoTネットワークやWeb公開アプリ全体にわたって広範な被害をもたらし得ると警告している。

「インターネットに面したルーター（DLink、TP-Link、Netgear、Linksys、ASUS）、IPカメラ、ネットワークアプライアンスを保有する組織は、自動化された毎時の悪用試行に直面しており、ボットネットへの組み込み、DDoSへの参加、企業インフラ上での暗号資産マイニング運用につながる可能性がある」と投稿は述べている。

複数段階の攻撃チェーンは、初期侵入のためのWebアプリケーション悪用（WordPress、Drupal、Struts2、WebLogicなど）から始まり、その後認証情報の窃取、ラテラルムーブメント、そしてIoTインフラの標的化へと続く。

さらにCloudSEKによれば、RondoDoxはx86、x86_64、MIPS、ARM、PowerPCアーキテクチャ向けのバイナリを、複数のフォールバック機構（wget、curl、tftp、ftp）とともに展開することで、複数のサーバーアーキテクチャに対する持続的な脅威となっている。これにより、「クラウドインスタンス、エッジデバイス、組み込みシステムを含む多様な企業環境全体でペイロード配信を確実にする」という。

RondoDoxへの緩和策

研究者らは、React2Shellを標的とするRondoDox攻撃を防ぐための複数の緩和策を推奨している。具体的には、脆弱なNext.jsおよびReact Server Componentsにパッチを適用してRCEリスクを排除すること、ならびに当該ボットネットが悪用することが知られている影響範囲内のすべての脆弱性についてセキュリティ更新を適用することが含まれる。

また、組織はIoTデバイスを専用VLANにセグメント化してラテラルムーブメントとボットネットの拡散を抑制し、Webアプリケーションに対する悪用試行を遮断するためにWebアプリケーションファイアウォール（WAF）を導入すべきだ。さらに、管理パネルや開発サーバーのインターネット露出を制限し、認証なしアクセスを減らすべきである。

その他の緩和策として研究者らは、暗号資産マイナーやボットネットローダーなどの不審なプロセス実行や未知のバイナリを監視すること、永続化メカニズムを防ぐために悪意のあるcronジョブを検知して削除すること、既知のコマンド＆コントロール（C2）インフラをネットワークおよびファイアウォールレベルでブロックすること、そして継続的な脆弱性スキャンを実施して露出した古いサービスを特定することを推奨している。