RondoDox kampanyasının “av tüfeğinden yararlanma” yöntemi, ağ cihazlarına sızmak için 30’dan fazla satıcıdaki 50’den fazla güvenlik açığından yararlanıyor ve hızlı yama ve sürekli izlemeye yönelik acil ihtiyacın altını çiziyor.
15 Haziran 2025’te tespit edilen ilk RondoDox saldırısı, Pwn2Own Toronto 2022’de açıklanan ve TP-Link Archer AX21 yönlendiricilerinin WAN arayüzünü hedefleyen bir komut enjeksiyon güvenlik açığını yeniden kullandı: CVE-2023-1389.
Bu güvenlik açığının ifşa edilmesinden kısa bir süre sonra Mirai kampanyalarında silah haline getirilmesi, güvenlik yarışmalarındaki kavram kanıtlama kodlarının botnet araç setlerine nasıl hızla taşındığının altını çizdi.
RondoDox operatörleri aşağıdaki gibi PoC komutlarını kullandı:
text#!/bin/sh
curl -X POST http://TARGET/cgi-bin/apply.cgi -d 'action=ping&ping_ip=8.8.8.8;chmod 777 /tmp/sh;sh /tmp/sh'
kabukları enjekte etmek ve çoklu mimari yüklerini bırakmak için. Trend Vision One® müşterileri, yama çıkışından bu yana CVE-2023-1389’a karşı korunmaktadır.
Çok Vektörlü “Av Tüfeğinden Yararlanma” Yaklaşımı
Başlangıçta TBK DVR’lere (CVE-2024-3721) ve Dört İnançlı yönlendiricilere (CVE-2024-12856) odaklanan RondoDox, cephaneliğini komut enjeksiyonu (CWE-78), yol geçişi (CWE-22), arabellek taşması dahil olmak üzere 38 izlenen CVE ve 18 belgelenmemiş güvenlik açığı olmak üzere 56 güvenlik açığını içerecek şekilde genişletti (CWE-120), kimlik doğrulamayı atlama (CWE-287) ve bellek bozulması (CWE-119).
Dikkate değer satıcı hedefleri arasında diğerlerinin yanı sıra D-Link, Netgear, Linksys, QNAP, Tenda ve ZyXEL yer alıyor. CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna yeni gözlemlenen birkaç CVE’nin eklenmesi, savunucuların aciliyetini artırıyor.
Kampanyanın hizmet olarak yükleyici modeli, RondoDox’u Mirai/Morte yükleriyle birlikte paketleyerek tespit ve iyileştirmeyi zorlaştıran dönen bir altyapı oluşturuyor.
Proaktif Savunma Stratejileri
RondoDox, kamuya ifşa ile kitlesel sömürü arasındaki pencerenin nasıl daraldığını gösteriyor. Sorumlu bir şekilde açıklanan güvenlik açıkları bile hızla botnet silahlarına dönüşüyor.
İnternete açık yönlendiriciler, DVR’ler, NVR’ler, CCTV sistemleri ve diğer ağ uç cihazlarının bakımını yapan kuruluşların proaktif bir güvenlik duruşu benimsemesi gerekir.
Düzenli güvenlik açığı değerlendirmeleri ve varlık envanterleri, güncelliğini kaybetmiş donanım yazılımlarını ve yama uygulanmamış uç noktaları tespit etmek için çok önemlidir.
Ağ bölümlendirmesi, kritik sistemleri izole ederek yanal hareketi sınırlayabilir. Eşleşen süreç komutlarının aranması gibi sürekli izleme ve tehdit avcılığı #!/bin/sh veya şüpheli kullanıcı aracıları gibi [email protected]—RondoDox etkinliğinin erken tespitini etkinleştirin. Aşağıda savunuculara yardımcı olacak IoC’lerden bir seçki yer almaktadır:
| Gösterge Türü | Değer |
|---|---|
| Şüpheli İşlem Komutu | #!/bin/sh AND chmod 777 |
| Kötü Amaçlı Kullanıcı Aracısı | *[email protected]* |
| Yükleyici Etki Alanı Kalıbı | rondo. |
| Yaygın E-posta Adresleri | [email protected][email protected] |
| Yol İmzalarından Yararlanma | /cgi-bin/apply.cgi |
Trend Vision One™ Threat Insights müşterileri, kabuk komutları ve yükleyici modellerinin birleşimini işaretleyen kural ZTH_Malware_RondoDox_Loader_A ve e-posta tabanlı göstergeler için ZTH_Malware_RondoDox_Email gibi yerleşik algılamalardan yararlanabilir.
RondoDox botnet, hızlı yama dağıtımının, özenli varlık yönetiminin ve sürekli izlemenin zorunluluğunun altını çiziyor.
Yararlanma yöntemleri çoğaldıkça, savunucuların yama iş akışlarını otomatikleştirerek, segmentasyonu sürdürerek ve erken uzlaşma sinyallerini arayarak güvenlik açığı penceresini daraltması gerekir.
Proaktif stratejiler ve Trend Vision One™ gibi yapay zeka destekli platformlar sayesinde kuruluşlar, gelişen çok vektörlü tehditlerin önünde kalabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.