Кибербезопасность: Ботнет RondoDox атакует уязвимости с Pwn2Own

Исследователи кибербезопасности из Trend Micro и Zero Day Initiative (ZDI) обнаружили масштабную кампанию ботнета RondoDox, эксплуатирующую более 50 уязвимостей в продукции свыше 30 вендоров. Особую тревогу вызывает использование уязвимостей, впервые продемонстрированных на конкурсе Pwn2Own, что свидетельствует о растущей профессионализации киберпреступников.

Описание

Кампания представляет серьезную угрозу для организаций с открытой интернет-инфраструктурой, создавая риски утечки данных, сохранения устойчивого доступа в корпоративные сети и нарушения операционной деятельности. Наибольшей опасности подвержены организации, использующие интернет-ориентированные сетевые устройства. Активная эксплуатация уязвимостей наблюдается по всему миру с середины 2025 года, причем несколько идентификаторов CVE уже включены в каталог известных эксплуатируемых уязвимостей (KEV) Агентства кибербезопасности и безопасности инфраструктуры США (CISA).

Эксперты рекомендуют в приоритетном порядке установить исправления для всех перечисленных уязвимостей, особенно тех, что находятся в каталоге KEV. Регулярные оценки уязвимостей, сегментация сетей для ограничения горизонтального перемещения и непрерывный мониторинг устройств на предмет аномальной активности становятся обязательными элементами защиты. Решения Trend Micro уже обеспечивают защиту от уязвимостей и недостатков, эксплуатируемых в этой кампании, помогая организациям снизить риски до завершения работ по установке исправлений.

Первая попытка проникновения RondoDox была зафиксирована 15 июня 2025 года, когда исследователи идентифицировали знакомую уязвимость с мероприятия Pwn2Own в Торонто. Эта уязвимость, отслеживаемая как CVE-2023-1389, нацелена на интерфейс глобальной сети маршрутизатора TP-Link Archer AX21. Ранее о кампании Mirai, эксплуатировавшей CVE-2023-1389, сообщалось еще в 2023 году, вскоре после конкурса Pwn2Own. Уязвимости, представленные на потребительском мероприятии Pwn2Own, продолжают оставаться популярными среди операторов ботнетов.

RondoDox впервые публично появился в середине 2025 года как скрытая кампания ботнета, использующая давние уязвимости внедрения команд в интернет-ориентированных маршрутизаторах, цифровых видеорегистраторах, сетевых видеорегистраторах, системах видеонаблюдения и другом сетевом оборудовании для получения доступа к оболочке и, в конечном счете, размещения мультиархитектурных полезных нагрузок. Первоначальный анализ RondoDox, подготовленный FortiGuard Labs, highlighted первоначальную кампанию, сфокусированную на цифровых видеорегистраторах TBK и маршрутизаторах Four-Faith через эксплуатацию CVE-2024-3721 и CVE-2024-12856.

В последнее время RondoDox расширил распространение, используя инфраструктуру «загрузчик как услуга», которая совместно упаковывает RondoDox с полезными нагрузками Mirai/Morte, что делает обнаружение и устранение более срочными. Хронология ключевых событий уязвимости RondoDox показывает, как уязвимость, обнаруженная на Pwn2Own в Торонто в 2022 году, через несколько лет превратилась в инструмент массовой эксплуатации.

Расширенный арсенал RondoDox, построенный на основе CVE-2023-1389 и других уязвимостей, таких как CVE-2024-3721 и CVE-2024-12856, теперь включает несколько дополнительных идентификаторов CVE и шаблонов эксплуатации, наблюдаемых в реальных условиях. Это четкий сигнал о том, что кампания эволюционирует за пределы эксплуатации отдельных устройств в многопользовательскую операцию загрузчика. Особенно важно, что исследователи связали активную эксплуатацию CVE-2024-3721 и CVE-2024-12856 с активностью RondoDox, и часть вновь наблюдаемых уязвимостей была добавлена в каталог KEV CISA, повысив их до целей немедленного исправления высокого приоритета для защитников.

Среди 56 целевых уязвимостей, используемых в кампаниях RondoDox, 38 имеют назначенные идентификаторы CVE, а 18 пока остаются без них. Подавляющее большинство (50) относятся к категории внедрения команд, тогда как обход трассировки пути, переполнение буфера, обход аутентификации и повреждение памяти представлены единичными случаями. В списке целевых продуктов значатся сетевые устройства от D-Link, Netgear, TP-Link, Cisco, ZyXEL и многих других производителей, демонстрируя широкий охват атаки.

Последняя кампания ботнета RondoDox представляет собой значительную эволюцию в автоматизированной эксплуатации сетей, демонстрируя, как злоумышленники продолжают использовать как публично раскрытые уязвимости, так и уязвимости нулевого дня, обнаруженные на конкурсах безопасности, таких как Pwn2Own. Подход «дробовика», нацеленный на более чем 50 уязвимостей у свыше 30 вендоров, подчеркивает сохраняющиеся риски, с которыми сталкиваются организации, поддерживающие интернет-экспонированную сетевую инфраструктуру без адекватных средств контроля безопасности.

Представленная хронология раскрывает неудобную правду о жизненном цикле уязвимостей. Даже когда исследователи безопасности ответственно раскрывают недостатки, а поставщики выпускают исправления, окно между публичным раскрытием и широкомасштабной эксплуатацией продолжает сокращаться, в то время как жизненный цикл уязвимостей n-day остается постоянной проблемой для устройств и их поставщиков. Организации, которые откладывают установку исправлений или не ведут полные реестры активов своих пограничных сетевых устройств, создают возможности для таких кампаний, как RondoDox, чтобы создать устойчивый плацдарм в своей инфраструктуре.

В дальнейшем защитники должны принять проактивную позицию безопасности, которая включает регулярные оценки уязвимостей, сегментацию сетей для ограничения горизонтального перемещения, ограничение интернет-экспозиции и непрерывный мониторинг признаков компрометации.