趋势科技与零日计划(ZDI)联合披露一个名为RondoDox的快速进化僵尸网络,该网络正活跃利用超过30家厂商的至少56个安全漏洞。
该活动已从针对性攻击转向大规模”漏洞散射”策略,向全球暴露在互联网的脆弱基础设施无差别发射大量攻击载荷。
从Pwn2Own到大规模攻击
首例RondoDox相关活动于2025年6月15日被发现,当时趋势科技监测系统捕获到利用CVE-2023-1389(TP-Link Archer AX21广域网接口漏洞)的入侵尝试。该漏洞最初由Qrious Secure研究人员Tri Dang和Bien Pham在2022年Pwn2Own多伦多大赛上演示,结合了认证绕过与命令注入技术。
这个曾被Mirai系列攻击利用的漏洞,标志着Pwn2Own研究成果已转化为实际攻击武器。趋势科技指出,其Pwn2Own消费级赛事中首次披露的漏洞,持续成为僵尸网络运营者获取攻击素材的重要来源。
研究还提及FortiGuard实验室早前记录的RondoDox活动,包括针对CVE-2024-3721(影响TBK数字录像机)和CVE-2024-12856(影响四信路由器)的定向利用。到2025年9月,该僵尸网络开始通过加载器即服务模式大规模分发载荷,在轮转的基础设施中将RondoDox与Mirai、Morte等恶意软件捆绑传播。
技术特征与演进
RondoDox以利用边缘设备命令注入漏洞获取远程Shell访问权限为特征,借此投递多架构恶意软件载荷。其加载器支持模块化交付,能快速适应新目标与配置。最新攻击波次显示其已从机会主义入侵转向协调化的多向量加载器运营,显著扩展了僵尸网络覆盖范围。
2025年6月至9月期间,趋势科技记录到活动明显升级:9月22日出现攻击峰值,随后CloudSEK于9月25日报告详细说明了RondoDox加载器基础设施的扩张情况。
漏洞利用全景
该僵尸网络利用的56个漏洞中,38个已分配CVE编号。大部分为命令注入漏洞,其余涉及路径遍历、认证绕过、缓冲区溢出及内存破坏等类型。
受影响设备覆盖消费级、企业级及工业级场景,包括路由器、数字/网络录像机、闭路电视系统及网页服务器。
主要受影响厂商及关键漏洞包括:
– TP-Link:CVE-2023-1389(Archer AX21的Pwn2Own漏洞)
– 四信:CVE-2024-12856(工业路由器)
– TBK:CVE-2024-3721(多款DVR型号)
– 威联通:CVE-2023-47565(VioStor NVR)
– TOTOLINK:CVE-2025-1829与CVE-2024-1781
– 友讯:多款新旧路由器受CVE-2023-25280、CVE-2020-25506、CVE-2015-2051等影响
– 网件:CVE-2016-6277、CVE-2020-27867
– 领势:CVE-2025-34037及其他未命名apply.cgi变种
– 思科:CVE-2019-1663
– Apache HTTP服务器:CVE-2021-41773、CVE-2021-42013
– GNU Bash:CVE-2014-6271(Shellshock)
至少18个漏洞未分配CVE编号,表明攻击者可能正在利用TVT、利林、ASMAX、烽火通信、IQrouter、BYTEVALUE等品牌的零日漏洞或长期未披露缺陷。
安全建议与态势
RondoDox活动反映出僵尸网络策略转向自动化、模块化大规模利用老旧基础设施的趋势。其依托的加载器即服务后端及持续扩大的N日/零日漏洞库,表明攻击行动仍在持续演进。截至2025年10月,该活动仍处于活跃状态。
建议用户及时安装设备最新固件更新,实施网络分段隔离关键设备,并在非必要时禁用闲置物联网设备。
发表评论
您还未登录,请先登录。
登录