RondoDox botnet iskorištava React2Shell ranjivost (CVE-2025-55182)

AUTOR ·

RondoDox botnet kampanja koristi React2Shell ranjivost označenu kao CVE-2023-1389, kao i ranjivosti nastale zbog zakašnjele primjene ispravke (eng. n-day vulnerabilities), pokazuje istraživanje kompanije CloudSEK. Ove slabosti se iskorištavaju za širenje botnet mreže preko ranjivih internet aplikacija i internet stvari (eng. internet of things – IoT) uređaja, što naglašava stalnu opasnost od evoluirajućeg arsenala ove prijetnje.

RondoDox

RondoDox botnet iskorištava React2Shell ranjivost (CVE-2025-55182); Source: Bing Image Creator

RONDODOX BOTNET KAMPANJA

Pojava RondoDox botnet mreže početkom 2025. godine označila je značajan razvoj u oblasti zloupotreba i botnet operacija. Kampanju karakteriše širok opseg ciljanja, obuhvatajući organizacije i pojedince koji koriste aplikacije Next.js okrenute ka internetu i internet stvari (IoT) uređaje. Pogođeni sektori uključuju tehnologiju, finansijske usluge, zdravstvo, obrazovanje i dobavljače usluga u oblaku.

Lanac napada RondoDox mreže je potpuno automatizovan, sa izviđanjem, napadom i isporukom korisnog tereta orkestriranim putem distribuirane infrastrukture za skeniranje. Ovaj nivo automatizacije omogućio je kampanji brzo širenje, sa fokusom na maksimalno korištenje resursa za rudarenje kriptovaluta i dalju infekciju. Ključnu ulogu u tome ima komponenta za botnet učitavanje, koja agresivno uklanja konkurentski zlonamjerni softver.

Uklanjanje konkurentskog zlonamjernog softvera osigurava potpunu kontrolu nad resursima i omogućava kampanji da zadrži nadzor nad ugroženim sistemima, olakšavajući stalno iskorištavanje i širenje. Komponenta za botnet učitavanje dodatno obezbjeđuje trajnost na inficiranim uređajima mijenjanjem sistemskih podešavanja i zakazivanjem zadataka.

Širenje RondoDox mreže izvan tradicionalnih internet servera posebno je značajno, jer ugrožava mrežno povezane skladišta podataka (eng. network-attached storage – NAS), IP kamere i štampače koji koriste ugrađene Next.js ili React komponente. Ova raznovrsnost povećala je domet i uticaj kampanje, čineći je ozbiljnom prijetnjom i za organizacije i za pojedince.

Oslanjanje na javno dostupan kôd za napade sa GitHub platforme i Openwall Security Mailing liste dodatno je ubrzalo tempo zloupotreba. Dostupnost takvog kôda olakšala je uključivanje i kriminalnih i državnih aktera u kampanju, pojačavajući njen uticaj.

Primijećeno je da RondoDox cilja Next.js servere i internet stvari (IoT) uređaje, uključujući Linksys i Wavlink rutere, sa učestalim talasima pokušaja napada tokom prve nedjelje. Fondacija Shadowserver izvijestila je da je do 30. decembra 2025. godine više od 94.000 ranjivih sistema bilo izloženo internetu.

Dodavanje ranjivosti CVE-2025-55182 u katalog poznatih ranjivosti svega nekoliko dana nakon otkrivanja naglašava hitnu potrebu za otklanjanjem problema na pogođenim sistemima. Ova akcija jasno ističe važnost blagovremenog ispravljanja propusta kako bi se spriječila zloupotreba od strane kampanja poput RondoDox.

 

React2Shell Ranjivost

Ranjivost React2Shell (CVE-2025-55182) predstavlja kritičnu grešku u komponentama React servera, nastalu zbog nebezbjednog pretvaranja nepouzdanih podataka u unutrašnje strukture sistema. React server komponente su osmišljene da omoguće prikazivanje sadržaja na strani servera, čime programerima daju mogućnost izrade dinamičkih internet aplikacija sa boljim performansama i većom prilagodljivošću.

Ipak, kao i kod svakog složenog softverskog sistema, propusti se mogu pojaviti prilikom obrade korisničkog unosa ili nepouzdanih podataka. U slučaju React2Shell, greška se aktivira HTTP zahtjevima ka krajnjim tačkama Server Function koji sadrže zlonamjerna opterećenja.

Obrada podataka odvija se u okviru Next.js servera, što omogućava proizvoljno izvršavanje kôda na pogođenim sistemima. Time zlonamjerni akter može da ubaci i pokrene zlonamjerni kôd bez potrebe za dodatnim privilegijama ili pravima pristupa.

Detaljna analiza pokazuje da ranjivost pogađa React Server Components verzije od 19.0.0 do 19.2.0, kao i Next.js verzije od 15.0.0 do 16.0.6, uključujući sve Canary izdanja i povezane pakete poput react-server-dom-parcel, react-server-dom-turbopack i react-server-dom-webpack.

Osnova problema leži u načinu na koji React Server Components obrađuju nepouzdane podatke. Kada se uputi HTTP zahtjev ka Server Function tački sa zlonamjernim opterećenjem, ono se ne provjerava niti se čisti prije izvršavanja u okviru Next.js server procesa.

Ovaj nedostatak provjere otvara mogućnost da zlonamjerni akteri ubace i pokrenu proizvoljni kôd na pogođenim sistemima. Posljedice su ozbiljne, jer ranjivost omogućava neovlašteni pristup osjetljivim podacima, prekid rada sistema ili čak preuzimanje kontrole nad čitavim mrežama.

 

Višestepeni lanac infekcije

Nakon uspješnog iskorištavanja ranjivosti React2Shell, primjenjuje se napredni zlonamjerni softver RondoDox. Ovo se odvija kroz višestepeni lanac infekcije sastoji se od više komponenti osmišljenih da uspostave postojanost i obezbijede potpunu kontrolu nad pogođenim sistemima.

Početni korisni teret, obično preuzet iz čvrsto kodiranog URI kao što je /nuts/bolts, služi kao program za učitavanje i provjeru botnet ispravnosti. Jedna od njegovih glavnih funkcija jeste izmjena crontab datoteke sistema kako bi se osiguralo pokretanje pri ponovnom pokretanju. Ovaj mehanizam postojanosti garantuje da će zlonamjerni softver nastaviti da radi i nakon što je početni napad završen.

Pored toga, komponenta sprovodi mehanizam stavljanja procesa na dozvoljenu listu (eng. whitelisting). Svakih 45 sekundi prekida procese koji nisu dio botnet mreže, nastojeći da zadrži potpunu kontrolu nad sistemskim resursima i spriječi ometanje od strane legitimnih aplikacija ili bezbjednosnog softvera.

Sekundarni korisni teret koji raspoređuje RondoDox uključuje program za rudarenje i varijantu Mirai. Oba se izvršavaju u memoriji, što im omogućava da izbjegnu otkrivanje putem tradicionalnih metoda zasnovanih na disku. Program za rudarenje koristi sistemske resurse za proizvodnju kriptovalute Monero.

Istovremeno, varijanta Mirai skenira dodatne ranjive uređaje unutar mreže, šireći botnet bočno i povećavajući njegov domet. Ovaj način širenja omogućava RondoDox botnet mreži da se brzo proširi, što je čini sve težom za obuzdavanje ili uklanjanje nakon što se jednom uspostavi.

 

Komunikacija

Komunikacija komandovanja i upravljanja (C2) predstavlja ključni dio svake operacije zlonamjernog softvera, jer omogućava zlonamjernim akterima da izdaju komande, primaju obavještenja i održavaju koordinaciju. U slučaju RondoDox botnet mreže, C2 komunikacija se odvija preko HTTP/HTTPS protokola uz česte promjene infrastrukture, osmišljene da se izbjegne stavljanje na crnu listu.

Botnet koristi algoritme za formiranje domena (eng. domain generation algorithms – DGA) zajedno sa čvrsto kodiranim IP adresama kako bi olakšao proces komunikacije. Ovakav pristup omogućava zlonamjernim akterima da formiraju veliki broj domena i IP adresa koje se koriste za komandovanje i upravljanje, što timovima za bezbjednost znatno otežava praćenje i blokiranje.

Neke od čvrsto kôdiranih IP adresa povezanih sa RondoDox botnet mrežom uključuju 74.194.191.52, 70.184.13.47 i 41.231.37.153. Ove adrese se vjerovatno koriste kao serveri komandovanja i upravljanja unutar infrastrukture botnet mreže.

Znaci moguće infekcije RondoDox botnet mrežom mogu se uočiti kroz neuobičajeno pokretanje procesa iz direktorijuma /tmp, /dev/shm i /dev. Pored toga, česta upotreba komandi chmod 755/777 može ukazivati da zlonamjerni akter pokušava da izmijeni sistemske dozvole ili poveća privilegije u pogođenom okruženju.

Izlazne veze koje ne potiču iz internet pregledača, a usmjerene su prema neprepoznatim IP adresama, mogu predstavljati znak aktivnosti RondoDox botnet mreže. Takva komunikacija često ukazuje na saobraćaj komandovanja i upravljanja, što znači da zaraženi proces održava vezu sa spoljnim serverima radi novih uputstava ili ažuriranja.

 

Analiza ciljeva i ugrožavanja

Uočeno je da kampanja RondoDox botnet mreže pokazuje široke mogućnosti ciljanja, što operaterima botnet mreže omogućava da iskoriste veći broj ranjivosti i time dovedu do masovnog ugrožavanja potrošačkih uređaja.

Ključni dio ove strategije jeste napad na sektore koji se u velikoj mjeri oslanjaju na tehnologiju, poput finansijskih usluga, zdravstva, obrazovanja i dobavljača usluga u oblaku. Ove organizacije često imaju složene infrastrukture sa više ulaznih tačaka za zlonamjerne aktere, što ih čini privlačnim metama za operatere RondoDox botnet mreže koji žele da dobiju pristup osjetljivim podacima ili da poremete ključne funkcije. Masovno ugrožavanje potrošačkih uređaja posebno je izraženo u regionima gdje su Next.js i React okviri široko prihvaćeni.

Geografski posmatrano, napadi su prijavljeni u više zemalja, uključujući Sjedinjene Američke Države, Kinu i druge dijelove svijeta u organizacijama sa izloženom infrastrukturom. Globalni domet RondoDox botnet mreže naglašava njen potencijal da izazove rasprostranjene poremećaje i preuzme resurse.

Neselektivna priroda mehanizama skeniranja i napada botnet mreže povećava rizik od bočnog kretanja unutar ugroženih mreža. To znači da kada zlonamjerni akter dobije pristup jednom sistemu ili mreži, može se dalje kretati preko povezanih sistema, dodatno ugrožavajući osjetljive podatke i ometajući ključne funkcije.

Dodatno, činjenica da su sjevernokorejske napredne trajne prijetnje (eng. advanced persistent threat – APT) iskoristile React2Shell za primjenu EtherRAT zlonamjernog softvera u svrhe špijunaže pokazuje ranjivost ovih okvira na napredne napade. Slično tome, grupe povezane sa Kinom pokrenule su napade u roku od nekoliko sati od javnog otkrivanja, ciljajući i javne i privatne subjekte sa visokim stepenom preciznosti.

 

RONDODOX BOTNET PROFIL

RondoDox botnet je zabilježen kao značajan zlonamjerni akter u sajber prijetnjama od jula 2025. godine. Njegova strategija zasniva se na oportunističkom i visoko automatizovanom iskorištavanju ranjivosti nastalih zbog zakašnjele primjene ispravki u programskim okvirima za internet aplikacije i internet stvari (IoT) uređaje. Takvi propusti, iako otkriveni, često ostaju neotklonjeni od strane proizvođača, što omogućava brzu i široku distribuciju zlonamjernih korisnih tereta.

Modularna arhitektura botnet mreže daje mu sposobnost prilagođavanja različitim okruženjima i tipovima uređaja, raspoređujući raznovrsne korisne terete u skladu sa ciljem. Time se obezbjeđuje otpornost na sigurnosne mjere i dugotrajna djelotvornost, uz stalnu mogućnost prilagođavanja novim prijetnjama u ekosistemu internet aplikacija i internet stvari (IoT) uređaja.

Operateri RondoDox botnet mreže primjenjuju napredne mjere operativne sigurnosti koje dodatno naglašavaju njegovu snagu. Rotacija infrastrukture radi izbjegavanja otkrivanja, odobravanje procesa radi prikrivanja prisustva i uklanjanje konkurentskog zlonamjernog softvera omogućavaju održavanje prikrivenog botnet karaktera. Ovakve taktike ukazuju na operatere sa znanjem i resursima, a istovremeno predstavljaju uzor drugim zlonamjernim akterima koji teže nevidljivosti.

Pripisivanje odgovornosti za RondoDox botnet ostaje nejasno, ali dostupni dokazi ukazuju na dobro organizovan kriminalni sindikat. Ponovna upotreba kôda i infrastrukture poznate iz drugih botnet porodica dodatno potvrđuje ovu pretpostavku. Istovremeno, ranjivosti poput React2Shell iskorištavaju i napredne trajne prijetnje (APT) povezane sa Sjevernom Korejom i Kinom, što pokazuje njihovu privlačnost i vrijednost kako za kriminalne grupe, tako i za državne aktere sa strateškim ciljevima. Ova kombinacija jasno ukazuje na dvostruku ulogu ranjivosti i potrebu za njihovim pravovremenim ispravkama.

RondoDox botnet se time pokazuje kao adaptivan sistem koji ne samo da predstavlja direktnu prijetnju, već postavlja obrasce koje drugi zlonamjerni akteri mogu slijediti, povećavajući rizik od širenja sličnih prijetnji u budućnosti.

 

UTICAJ

RondoDox botnet kampanja pokazala je da digitalni napadi ne ostaju zatvoreni u tehničkom domenu, već se direktno odražavaju na svakodnevni život korisnika i poslovanje organizacija. Njena snaga leži u tome što istovremeno pogađa lične uređaje i složene mrežne sisteme, ostavljajući posljedice koje se teško mogu otkloniti.

Za korisnike, posljedice se vide kroz gubitak funkcionalnosti uređaja, usporen rad i prekide u osnovnim digitalnim uslugama. Ruteri, kamere i štampači pretvoreni u dio botnet mreže postaju izvor problema, a troškovi popravke ili zamjene padaju na teret vlasnika. Još ozbiljnije, korisnici ostaju izloženi krađi podataka i narušavanju privatnosti, što stvara trajnu nesigurnost i nepovjerenje u tehnologiju koju svakodnevno koriste.

Organizacije se suočavaju sa višestrukim posljedicama. Napadi dovode do prekida poslovanja, gubitka prihoda i narušavanja ugleda. Resursi se iscrpljuju kada se sistemi koriste za rudarenje kriptovaluta ili širenje zlonamjernog softvera, dok klijenti gube povjerenje u kompanije koje nisu uspjele da zaštite svoje mreže. Posebno su pogođeni sektori tehnologije, finansija, zdravstva, obrazovanja i usluga u oblaku, gdje svaki prekid znači direktan udar na poslovanje i reputaciju.

Geografski obuhvat kampanje pokazuje da problem nije ograničen na jednu zemlju. U Sjedinjenim Američkim Državama prijavljeno je 68.400 ranjivih instanci, u Njemačkoj 4.300, Francuskoj 2.800, a u Indiji 1.500. Ovi podaci jasno ukazuju da se radi o prijetnji koja pogađa i pojedince i organizacije na globalnom nivou, ali i da posljedice prevazilaze granice pojedinačnih sistema. Kada su desetine hiljada uređaja u jednoj zemlji ranjive, to ne ugrožava samo korisnike ili organizacije, već destabilizuje digitalnu infrastrukturu u cjelini. Javna dostupnost kôda za iskorištavanje ranjivosti dodatno je ubrzala zloupotrebu i omogućila da se u kampanju uključe kako kriminalne grupe, tako i državno sponzorisani akteri.

Uticaj kampanje RondoDox ne završava se trenutkom kada se napad otkrije ili sistem obnovi. Organizacije se suočavaju sa dugotrajnim gubitkom povjerenja klijenata i partnera, dok korisnici ostaju svjesni da njihovi uređaji mogu biti iskorišćeni protiv njih. Ova kampanja je pokazala da digitalna bezbjednost mora biti stalna obaveza, a ne povremena reakcija. Samo zajedničkim pristupom i ulaganjem u zaštitu moguće je umanjiti posljedice ovakvih prijetnji i obezbijediti sigurniju budućnost za sve.

 

ZAKLJUČAK

RondoDox botnet kampanja predstavlja jasan primjer razvoja savremenih prijetnji u oblasti bezbjednosti. Njena snaga ogleda se u objedinjavanju izviđanja, iskorištavanja slabosti i isporuke zlonamjernih sadržaja kroz distribuiranu infrastrukturu za skeniranje. Takav pristup omogućava zlonamjernom akteru da istovremeno ugrozi veliki broj sistema, čime se odbrana znatno otežava, a djelotvornost uobičajenih mjera zaštite smanjuje.

Uspjeh kampanje zasniva se na korištenju javno dostupnih slabosti što pokazuje da otvoreni izvori mogu biti upotrebljeni za brzu i masovnu zloupotrebu. Dodatno, prisustvo sadržaja kao što su React2Shell i program za rudarenje ukazuje na visok nivo prilagodljivosti i spremnost da se postupci stalno mijenjaju u skladu sa novim okolnostima.

Trajnost kampanje, potvrđena kroz devet mjeseci neprekidnih pokušaja ugrožavanja sistema, naglašava stratešku odlučnost zlonamjernog aktera i otvara pitanje otpornosti postojećih okvira zaštite. Ovaj vremenski period jasno pokazuje da napadi nisu slučajni, već planski i dugoročno vođeni.

Za organizacije koje koriste Next.js aplikacije dostupne preko interneta i internet stvari (IoT) uređaje posljedice su višestruke. Na tehničkom nivou, neophodna je brza i dosljedna primjena ispravki. Na operativnom nivou, potrebno je unaprijediti nadzor i otkrivanje nepravilnosti. Na strateškom nivou, organizacije moraju razviti proaktivne politike zaštite koje uključuju stalnu procjenu rizika, korištenje podataka o prijetnjama i spremnost na prilagođavanje.

RondoDox botnet kampanja pokazuje da bezbjednost više nije statičan proces, već promjenljiv sistem u kojem se prijetnje stalno razvijaju. Zaključak je jasan: samo spoj tehničke otpornosti, operativne prilagodljivosti i strateške proaktivnosti može obezbijediti odgovarajuću odbranu protiv ovakvih kampanja.

 

PREPORUKE

Zaštita od RondoDox botnet kampanj zahtjeva hitnu pažnju organizacija i pojedinaca. U nastavku slijedi nekoliko preporuka:

  1. Osigurati da su sve Next.js aplikacije povezane na internet ažurirane na najnoviju verziju, jer je zastareli softver primarna meta za iskorištavanje od strane zlonamjernih aktera. Ovo uključuje ne samo ažuriranje osnovnog okvira, već i sve zavisnosti ili dodatke koji se koriste u aplikaciji.
  2. Primjena robusnih bezbjednosnih praksi kao što su provjera unosa i filtriranje podataka može značajno smanjiti rizik od uspješnih napada na Next.js aplikacije. Redovno progledati i ažurirati ove mehanizme kako bi se ostalo ispred novih prijetnji.
  3. Redovno, sveobuhvatno skeniranje ranjivosti u svim sistemima povezanim na internet, uključujući internet stvari (IoT) uređaje. Ovaj proaktivni pristup pomaže u identifikaciji potencijalnih ranjivosti prije nego što ih zlonamjerni akteri mogu iskoristiti.
  4. Pažljivo pratiti mrežni saobraćaj kroz implementaciju robusnih mehanizama za praćenje i evidentiranje radi otkrivanja sumnjivih aktivnosti. Sistemski zapisi se moraju redovno pregledati kako bi se brzo identifikovali znaci neovlaštenog pristupa ili pokušaja krađe podataka.
  5. Potrebno je usvojiti strategiju dubinske odbrane, odnosno slojeviti bezbjednosni pristup koji uključuje višestruke kontrole radi poboljšanja ukupne zaštite od RondoDox To obuhvata zaštitne zidove, sisteme za detekciju upada i druge mrežne odbrane, uz zaštitu krajnjih tačaka na pojedinačnim uređajima.
  6. Softver na svim uređajima mora biti ažuriran najnovijim bezbjednosnim ispravkama. Zavisnosti aplikacija, uključujući Next.js i biblioteke trećih strana, potrebno je redovno pregledati i ažurirati.
  7. Organizacija mora razviti i redovno testirati efikasan plan odgovora na sajber prijetnje, sa jasno definisanim procedurama za slučajeve sumnje na RondoDox napad ili druge bezbjednosne incidente.
  8. Zaposleni treba da budu edukovani o bezbjednim praksama rada, uključujući izbjegavanje sumnjivih veza i priloga, kao i prijavljivanje neobičnih aktivnosti IT osoblju.
  9. Kontrole pristupa moraju biti stroge, sa privilegijama ograničenim na minimum neophodan za obavljanje radnih zadataka. Dozvole se moraju redovno preispitivati.
  10. Obuka o bezbjednosnoj svijesti mora se redovno sprovoditi radi informisanja zaposlenih o novim prijetnjama i najboljim praksama za smanjenje rizika.
  11. Kritični podaci moraju se redovno čuvati u rezervnim kopijama radi oporavka sistema u slučaju katastrofe ili incidenata.
  12. Segmentacija mreže treba da bude sprovođenja radi ograničavanja bočnog kretanja zlonamjernih aktera i sprečavanja širenja napada.
  13. Neophodno je implementirati sveobuhvatne mehanizme evidentiranja koji bilježe detaljne informacije o sistemskim aktivnostima i potencijalnim bezbjednosnim incidentima.
  14. Alati za praćenje mrežnog saobraćaja moraju bilježiti detaljne informacije o svim aktivnostima sistema radi otkrivanja incidenata.
  15. Internet stvari (IoT) uređaji moraju imati alate za praćenje mrežnog saobraćaja radi evidentiranja aktivnosti i potencijalnih incidenata.

Zaštita od RondoDox botnet mreže zahtjeva višeslojni pristup koji obuhvata implementaciju robusnih bezbjednosnih mjera, sprovođenje skeniranja ranjivosti, praćenje mrežnog saobraćaja i edukaciju korisnika. Redovno preispitivanje i ažuriranje politika, procedura i softverskih zavisnosti neophodno je radi efikasne odbrane od novih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.