RondoDoxボットネットの脅威
新たな大規模ボットネット「RondoDox」が、世界中で56のn-day脆弱性を標的にしています。これには、Pwn2Ownハッキングコンテストで初めて公開された欠陥も含まれており、30種類以上のデバイスが狙われています。このボットネットは6月から活動しており、DVR、NVR、CCTVシステム、ウェブサーバーなど、広範囲にわたる露出したデバイスに焦点を当てています。
「エクスプロイト・ショットガン」戦略
Trend Microの研究者によると、RondoDoxボットネットは「エクスプロイト・ショットガン」戦略を採用しています。これは、感染を最大化するために多数のエクスプロイトを同時に使用する手法で、たとえ活動が非常にノイジーであっても実行されます。FortiGuard LabsがRondoDoxを発見して以来、このボットネットは悪用する脆弱性のリストを拡大しており、これにはCVE-2024-3721やCVE-2024-12856などが含まれています。
Pwn2Ownと脆弱性の悪用
Trend Microの報告によると、RondoDoxはPwn2Own Toronto 2022で実演されたTP-Link Archer AX21 Wi-Fiルーターの欠陥であるCVE-2023-1389を悪用しています。Pwn2Ownは、Trend MicroのZero Day Initiative (ZDI) が年に2回開催するハッキングコンテストで、ホワイトハットチームが広く使用されている製品のゼロデイ脆弱性に対するエクスプロイトを実演します。セキュリティ研究者は、ボットネット開発者がPwn2Ownイベントで実演されたエクスプロイトに細心の注意を払い、Miraiが2023年にCVE-2023-1389を悪用したように、迅速にそれらを武器化していると指摘しています。
標的となる主要なn-day脆弱性
RondoDoxがその武器庫に含める2023年以降のn-day脆弱性の一部を以下に示します。
- Digiever – CVE-2023-52163
- QNAP – CVE-2023-47565
- LB-LINK – CVE-2023-26801
- TRENDnet – CVE-2023-51833
- D-Link – CVE-2024-10914
- TBK – CVE-2024-3721
- Four-Faith – CVE-2024-12856
- Netgear – CVE-2024-12847
- AVTECH – CVE-2024-7029
- TOTOLINK – CVE-2024-1781
- Tenda – CVE-2025-7414
- TOTOLINK – CVE-2025-1829
- Meteobridge – CVE-2025-4008
- Edimax – CVE-2025-22905
- Linksys – CVE-2025-34037
- TOTOLINK – CVE-2025-5504
- TP-Link – CVE-2023-1389
特にサポート終了(EoL)に達したデバイスの古い脆弱性は、パッチが適用されない可能性が高いため、重大なリスクとなります。サポートされているハードウェアの比較的新しい脆弱性も同様に危険であり、多くのユーザーがデバイス設定後にファームウェアアップデートを無視する傾向があるためです。
未割り当てのコマンドインジェクション脆弱性
Trend Microはまた、RondoDoxが脆弱性ID(CVE)が割り当てられていない18のコマンドインジェクション脆弱性に対するエクスプロイトを組み込んでいることを発見しました。これらは、D-Link NASユニット、TVTおよびLILIN DVR、Fiberhome、ASMAX、Linksysルーター、Brickcomカメラ、およびその他の未識別のエンドポイントに影響を与えます。
対策と推奨事項
RondoDoxやその他のボットネット攻撃から保護するためには、以下の対策が推奨されます。
- デバイスに利用可能な最新のファームウェアアップデートを適用し、EoL機器は交換してください。
- ネットワークをセグメント化し、インターネットに接続されたIoTデバイスやゲスト接続から重要なデータを隔離してください。
- デフォルトの認証情報を安全なパスワードに置き換えることを強く推奨します。