RondoDox Botnet ve React2Shell Açığı
Son dönemlerde, RondoDox adındaki botnet’in siber güvenlik uzmanları tarafından gözlemlenen saldırıları, siber tehditler arasında dikkat çekici bir yer edinmiştir. Bu botnet, Internet of Things (IoT) cihazlarını ve web uygulamalarını hedef alarak, onları kontrol altına almak için React2Shell (CVE-2025-55182, CVSS skoru: 10.0) adlı kritik bir güvenlik açığını exploit etmektedir.
React2Shell Açığı Nedir?
React2Shell, React Server Components (RSC) ve Next.js üzerinde bulunan bir güvenlik açığıdır. Bu açık, kimlik doğrulaması yapılmamış saldırganların, savunmasız cihazlarda uzaktan kod yürütmesine olanak tanımaktadır. Shadowserver Foundation verilerine göre, 2025 yılı sonunda yaklaşık 90,300 açık durumda cihaz bulunmaktadır; bunların 68,400’ü yalnızca ABD’de yer almaktadır.
RondoDox Botnet’in Gelişimi
2025’in başlarında ortaya çıkan RondoDox, zamanla silahlanmasını güçlendirerek CVE-2023-1389 ve CVE-2025-24893 gibi yeni N-gün güvenlik açıklarını içeren bir yapı kazanmıştır. RondoDox’un tüm dünya genelinden saldırılar gerçekleştirdiği, Darktrace ve Kaspersky gibi güvenlik firmaları tarafından daha önce vurgulanmıştır.
Farkındalık ve Tehdit Aşamaları
RondoDox kampanyası, üç belirgin aşamadan oluşmaktadır:
- Mart – Nisan 2025: İlk keşif ve manuel açık taraması.
- Nisan – Haziran 2025: WordPress, Drupal gibi web uygulamaları ve Wavlink route’ları gibi IoT cihazları üzerinde günlük toplu açık taraması.
- Temmuz – Aralık 2025: Geniş ölçekli otomatik dağıtım.
RondoDox’un Saldırı Stratejisi
Aralık 2025’te tespit edilen saldırılarda, tehdit aktörlerinin savunmasız Next.js sunucularını tanımlamak için taramalar gerçekleştirdiği kaydedilmiştir. Ardından, bu cihazlara kripto para madencileri ve Mirai botnet varyantları gibi kötü amaçlı yazılımlar yüklemeyi amaçlamışlardır. Örneğin, “/nuts/bolts” adlı araç, rakip malware ve madencilerin sonlandırılması için kullanılmakta ve ana bot ikili dosyasını indirmek üzere komut ve kontrol (C2) sunucusundan yüklenmektedir.
Korunma Yöntemleri
Bu tür tehditlere karşı koyabilmek için işletmelerin, Next.js’i en kısa sürede yama yapılmış bir sürüme güncellemeleri, tüm IoT cihazlarını özel VLAN’lara ayırmaları, Web Uygulama Güvenlik Duvarları (WAF) dağıtmaları önerilmektedir. Ayrıca, şüpheli işlem yürütme izlenmeli ve bilinen C2 altyapısı engellenmelidir.
Siber tehditler ve botnet’ler giderek daha karmaşık hale gelirken, bu tür hackleme yöntemlerine karşı dikkatli olmak ve gerekli önlemleri almak kritik önem taşımaktadır.
