RondoDox Botnet ve React2Shell Açığı
RondoDox botnetinin, kritik öneme sahip React2Shell açığını (CVE-2025-55182) kullanarak, savunmasız Next.js sunucularını enfekte ederek kötü amaçlı yazılım ve kripto para madencileri ile doldurduğu gözlemlenmiştir. Bu durum, hem yazılım geliştiricileri hem de siber güvenlik uzmanları için ciddi bir tehdit oluşturmaktadır. İlk olarak Fortinet tarafından Temmuz 2025’te belgelenen RondoDox, büyük ölçekli botnetler arasında yer almaktadır ve dünya genelinde birçok n-gün açığını hedef almaktadır.
React2Shell Açığının Detayları
React2Shell, kimlik doğrulama gerektirmeyen bir uzaktan kod yürütme açığıdır. Bu açık, yalnızca bir HTTP isteği ile istismar edilebilmektedir. React Server Components (RSC) ‘Flight’ protokolünü uygulayan tüm çerçeveleri etkilemektedir; bu da Next.js’nin bir hedef haline gelmesini sağlamaktadır. RondoDox’un, React2Shell açığını kullanarak bağlantılı sunucularda kötü amaçlı yazılımlar yaydığı ve bu sunucuların kontrolünü ele geçirdiği açık bir şekilde gözlemlenmiştir.
Son Gelişmeler ve Tehditler
CloudSEK’den alınan yeni bir rapor, RondoDox’un 8 Aralık itibarıyla savunmasız Next.js sunucularını taramaya başladığını ve üç gün içinde botnet istemcilerini dağıtmaya başladığını bildirmektedir. React2Shell açığının kötüye kullanılması, Kuzey Koreli hackerlar tarafından EtherRAT adlı yeni bir kötü amaçlı yazılım ailesinin dağıtımı için de kullanılmıştır. 30 Aralık itibarıyla Shadowserver Foundation, 94,000 internetten erişilebilir varlığın React2Shell açığına karşı savunmasız olduğunu rapor etmiştir.
RondoDox’un İşleyiş Aşamaları
CloudSEK, RondoDox’un bu yıl üç farklı operasyonel aşamadan geçtiğini belirtmektedir:
- Mart-Nisan 2025’te keşif ve zafiyet testleri
- Nisan-Haziran 2025 arasında otomatik web uygulaması istismarı
- Temmuz’dan günümüze büyük ölçekli IoT botnet dağıtımı
Bu süreç içinde, RondoDox’un açığı hedef almadaki yoğunluğu artmış; Aralık ayında altı gün içinde 40’tan fazla istismar girişimi gerçekleştirilmiştir. Botnet, saat başı IoT istismar dalgaları düzenleyerek Linksys, Wavlink gibi tüketici ve işletme yönlendiricilerini hedef alarak yeni botlar kaydetmektedir.
Payload Dağıtımı ve Etkileri
Potansiyel olarak savunmasız sunucular tarandıktan sonra, RondoDox kötü niyetli payload’lar dağıtmaya başlamıştır. Bu payload’lar içerisinde bir kripto madenci (/nuts/poop), bir botnet yükleyici ve sağlık kontrolörü (/nuts/bolts) ile Mirai’nin bir varyantı (/nuts/x86) yer almaktadır. “Bolts” bileşeni, ana makinedeki rakip botnet yazılımlarını kaldırmakta ve /etc/crontab aracılığıyla sürekli çalışmayı sağlamaktadır. Ayrıca her 45 saniyede bir beyaz liste dışı süreçleri durdurmaktadır.
Korunma Yöntemleri
CloudSEK, firmaların bu RondoDox faaliyetlerine karşı koruma sağlamak için önerilerde bulunmaktadır. Bunlar arasında Next.js Server Actions’ın denetlenmesi ve güncellenmesi, IoT cihazlarının özel sanal LAN’lara izole edilmesi ve şüpheli süreçlerin izlenmesi yer almaktadır. Bu önlemler, siber tehditlerin etkisi azaltılmasına yardımcı olacaktır.
