新たな大規模ボットネット「RondoDox」は、Pwn2Ownハッキングコンテストで初めて公開された脆弱性を含む、30種類以上のデバイスに存在する56件の脆弱性を標的にしています。
攻撃者は、DVR、NVR、CCTVシステム、ウェブサーバーなど、幅広い公開デバイスを対象としており、6月から活動しています。
RondoDoxボットネットは、トレンドマイクロの研究者が「エクスプロイト・ショットガン」戦略と呼ぶ手法を活用しており、多数のエクスプロイトを同時に使用して感染を最大化します。たとえ活動が非常に目立ったとしてもです。
FortiGuard LabsがRondoDoxを発見して以来、このボットネットはCVE-2024-3721やCVE-2024-12856を含む、悪用する脆弱性のリストを拡大しているようです。
大量のn-day脆弱性悪用
本日公開されたレポートによると、RondoDoxは、Pwn2Own Toronto 2022で最初に実証されたTP-Link Archer AX21 Wi-Fiルーターの脆弱性(CVE-2023-1389)を悪用しています。
Pwn2Ownは、トレンドマイクロのZero Day Initiative(ZDI)が年2回主催するハッキングコンテストで、ホワイトハットチームが広く使用されている製品のゼロデイ脆弱性のエクスプロイトを実演します。
出典:トレンドマイクロ
セキュリティ研究者によると、ボットネット開発者はPwn2Ownイベントで実演されたエクスプロイトに細心の注意を払い、2023年にMiraiがCVE-2023-1389を悪用したように、素早く武器化しているとのことです。
以下は、RondoDoxが武器庫に加えている2023年以降のn-day脆弱性のリストです:
- Digiever – CVE-2023-52163
- QNAP – CVE-2023-47565
- LB-LINK – CVE-2023-26801
- TRENDnet – CVE-2023-51833
- D-Link – CVE-2024-10914
- TBK – CVE-2024-3721
- Four-Faith – CVE-2024-12856
- Netgear – CVE-2024-12847
- AVTECH – CVE-2024-7029
- TOTOLINK – CVE-2024-1781
- Tenda – CVE-2025-7414
- TOTOLINK – CVE-2025-1829
- Meteobridge – CVE-2025-4008
- Edimax – CVE-2025-22905
- Linksys – CVE-2025-34037
- TOTOLINK – CVE-2025-5504
- TP-Link – CVE-2023-1389
特にサポート終了(EoL)となったデバイスの古い脆弱性は、パッチが適用されないまま残る可能性が高いため、重大なリスクとなります。サポート中のハードウェアに存在する新しい脆弱性も同様に危険であり、多くのユーザーがデバイスの初期設定後にファームウェアの更新を無視しがちです。
トレンドマイクロはまた、RondoDoxが脆弱性ID(CVE)が割り当てられていない18件のコマンドインジェクション脆弱性のエクスプロイトも組み込んでいることを発見しました。これらはD-Link NAS、TVTおよびLILIN製DVR、Fiberhome、ASMAXおよびLinksysルーター、Brickcomカメラ、その他不明なエンドポイントに影響を与えます。
RondoDoxやその他のボットネット攻撃から身を守るためには、デバイスの最新のファームウェアアップデートを適用し、EoL機器は交換してください。また、ネットワークをセグメント化して重要なデータをインターネットに公開されたIoTやゲスト接続から隔離し、デフォルトの認証情報は安全なパスワードに変更することも推奨されます。
