RondoDoxボットネットの脅威
RondoDoxボットネットは、ルーター、CCTVシステム、Webサーバーを侵害するために、50以上の脆弱性を悪用しています。このキャンペーンは「エクスプロイト・ショットガン」と呼ばれる手法を採用し、30以上のベンダーにわたる多数の脆弱性を標的としています。これは、迅速なパッチ適用と継続的な監視の緊急性を浮き彫りにしています。
脆弱性の悪用と拡大
RondoDoxによる最初の侵入は2025年6月15日に検出され、Pwn2Own Toronto 2022で開示されたコマンドインジェクションの脆弱性CVE-2023-1389(TP-Link Archer AX21ルーターのWANインターフェースを標的とする)が再利用されました。この脆弱性は、開示後すぐにMiraiキャンペーンで悪用され、セキュリティコンテストの概念実証コードがボットネットのツールキットに迅速に移行する実態を示しています。
RondoDoxのオペレーターは、シェルを注入し、マルチアーキテクチャのペイロードをドロップするために、以下のようなPoCコマンドを使用しました。
curl -X POST http://TARGET/cgi-bin/apply.cgi -d 'action=ping&ping_ip=8.8.8.8;chmod 777 /tmp/sh;sh /tmp/sh'
当初、TBK DVR(CVE-2024-3721)とFour-Faithルーター(CVE-2024-12856)に焦点を当てていましたが、RondoDoxはその攻撃対象を拡大し、現在では56の脆弱性(追跡されているCVEが38件、未文書化の脆弱性が18件)を悪用しています。これには、コマンドインジェクション(CWE-78)、パス・トラバーサル(CWE-22)、バッファオーバーフロー(CWE-120)、認証バイパス(CWE-287)、メモリ破損(CWE-119)などが含まれます。
主な標的ベンダーには、D-Link、Netgear、Linksys、QNAP、Tenda、ZyXELなどが挙げられます。新たに観測されたCVEのいくつかは、CISAの既知の悪用済み脆弱性(KEV)カタログに追加されており、防御側にとっての緊急性が高まっています。
このキャンペーンの「ローダー・アズ・ア・サービス」モデルは、RondoDoxをMirai/Morteペイロードと組み合わせて提供し、検出と修復を困難にするローテーションインフラを構築しています。
プロアクティブな防御戦略
RondoDoxは、公開と大規模な悪用の間の期間が縮小していることを示しています。責任を持って開示された脆弱性でさえ、迅速にボットネットの武器となります。インターネットに公開されているルーター、DVR、NVR、CCTVシステム、その他のネットワークエッジデバイスを維持する組織は、プロアクティブなセキュリティ体制を採用する必要があります。
- 定期的な脆弱性評価と資産インベントリは、古いファームウェアやパッチが適用されていないエンドポイントを特定するために不可欠です。
- ネットワークセグメンテーションは、重要なシステムを隔離し、横方向の移動を制限できます。
- 継続的な監視と脅威ハンティング(例:
#!/bin/shに一致するプロセスコマンドやbang2012@protonmail.comのような疑わしいユーザーエージェントの検索)は、RondoDox活動の早期検出を可能にします。
防御を支援するためのIoC(侵害指標)の一部を以下に示します。
- 疑わしいプロセスコマンド:
#!/bin/shANDchmod 777 - 悪意のあるユーザーエージェント:
*bang2012@protonmail.com* - ローダードメインパターン:
rondo. - 一般的なメールアドレス:
bang2012@protonmail.com,makenoise@tutanota.de - エクスプロイトパスシグネチャ:
/cgi-bin/apply.cgi
RondoDoxボットネットは、迅速なパッチ展開、 diligentな資産管理、継続的な監視の重要性を強調しています。エクスプロイト手法が多様化する中、防御側はパッチワークフローの自動化、セグメンテーションの維持、および早期の侵害シグナルのハンティングによって、脆弱性の窓を縮小する必要があります。プロアクティブな戦略とAIを活用したプラットフォームにより、組織は進化する多角的な脅威に先行することができます。