RondoDox僵尸網絡在全球攻擊行動中針對56個n-day漏洞發起攻擊

一款名為RondoDox的新型大規模僵尸網絡，正針對30多種不同設備中的56個漏洞發起攻擊，其中包括首次在Pwn2Own黑客大賽期間披露的漏洞。

攻擊者的目標涵蓋各類暴露在外的設備，包括數字錄像機（DVR）、網絡錄像機（NVR）、閉路電視系統（CCTV）和網絡服務器，且自6月以來一直在活躍運作。

RondoDox僵尸網絡采用了Trend Micro研究人員的策略。即同時使用多個漏洞利用工具，以實現感染量最大化，即便這類操作會產生大量明顯痕跡也不例外。

自FortiGuard Labs發現RondoDox以來，該僵尸網絡似乎已擴大了其利用的漏洞列表，其中包括CVE-2024-3721和CVE-2024-12856這兩個漏洞。

大規模的n-day漏洞利用

在最新發布的一份報告中，RondoDox利用了CVE-2023-1389漏洞。該漏洞存在于TP-Link Archer AX21無線路由器中，最初是在2022年多倫多Pwn2Own大賽上被演示披露的。

Pwn2Own是由Trend Micro零日漏洞計劃（Zero Day Initiative，簡稱ZDI）每年舉辦兩次的黑客大賽。在大賽中，白帽黑客團隊會演示針對廣泛使用產品中零日漏洞的利用方法。

RondoDox TP-Link 漏洞利用時間表

安全研究人員指出，僵尸網絡開發者會密切關注Pwn2Own大賽期間演示的漏洞利用技術，并迅速將其武器化。2023年Mirai僵尸網絡對CVE-2023-1389漏洞的利用，就是典型案例。

以下是RondoDox攻擊武器庫中包含的2023年后的n-day漏洞列表：

·Digiever設備——CVE-2023-52163

·QNAP設備——CVE-2023-47565

·LB-LINK設備——CVE-2023-26801

·TRENDnet設備——CVE-2023-51833

·D-Link設備——CVE-2024-10914

·TBK設備——CVE-2024-3721

·Four-Faith設備——CVE-2024-12856

·Netgear設備——CVE-2024-12847

·AVTECH設備——CVE-2024-7029

·TOTOLINK設備——CVE-2024-1781

·Tenda設備——CVE-2025-7414

·TOTOLINK設備——CVE-2025-1829

·Meteobridge設備——CVE-2025-4008

·Edimax設備——CVE-2025-22905

·Linksys設備——CVE-2025-34037

·TOTOLINK設備——CVE-2025-5504

·TP-Link設備——CVE-2023-1389

老舊漏洞（尤其是已達生命周期終點設備中的漏洞）風險極高，因為這類漏洞更可能長期處于未修復狀態。而仍在支持范圍內的硬件中的較新漏洞同樣危險，因為許多用戶在設備設置完成后，往往會忽略固件更新。

安全研究人員發現，RondoDox整合了針對18個命令注入漏洞的利用工具，這些漏洞尚未分配漏洞標識。它們會影響D-Link網絡附加存儲（NAS）設備、TVT和LILIN品牌的DVR、Fiberhome、ASMAX及Linksys路由器、Brickcom攝像頭，以及其他未明確標識的終端設備。

RondoDox及其他僵尸網絡攻擊防御建議

為防范RondoDox及其他僵尸網絡攻擊，建議人們可采取以下措施：

1. 為設備安裝最新可用的固件更新，并更換已達生命周期終點（EoL）的設備。

2. 建議對網絡進行分段，將關鍵數據與連接互聯網的物聯網設備（IoT）或訪客網絡隔離開來。

3. 將設備默認憑據替換為安全性更高的密碼。

參考及來源：https://www.bleepingcomputer.com/news/security/rondodox-botnet-targets-56-n-day-flaws-in-worldwide-attacks/