【安全资讯】RondoDox僵尸网络利用React2Shell漏洞入侵Next.js服务器

概要：

网络安全威胁持续演变，大规模僵尸网络正利用新披露的严重漏洞发起针对性攻击。近期，RondoDox僵尸网络被观察到利用关键的React2Shell漏洞（CVE-2025-55182），入侵存在安全缺陷的Next.js服务器，部署恶意软件与加密货币挖矿程序，对全球网络资产构成严重威胁。

主要内容：

RondoDox是一个大规模僵尸网络，自2025年7月由Fortinet首次记录以来，持续在全球范围内利用多个已知漏洞发起攻击。网络安全公司CloudSEK报告指出，该僵尸网络于12月8日开始扫描存在漏洞的Next.js服务器，并于三日后开始部署其客户端。

此次攻击的核心是利用了React2Shell漏洞。这是一个未经身份验证的远程代码执行漏洞，攻击者可通过单个HTTP请求进行利用。该漏洞影响所有实现了React服务器组件“Flight”协议的框架，包括Next.js。截至12月30日，Shadowserver Foundation报告检测到超过94,000个暴露在互联网上的资产易受此漏洞攻击。

在针对React2Shell的利用活动中，RondoDox在12月的六天内发起了超过40次攻击尝试。攻击成功后，其部署的有效载荷包括一个加密货币挖矿程序（/nuts/poop）、一个僵尸网络加载器和健康检查器（/nuts/bolts）以及一个Mirai变种（/nuts/x86）。其中，“bolts”组件会清除主机上其他竞争性僵尸网络恶意软件，通过/etc/crontab实现持久化，并每45秒终止非白名单进程。

CloudSEK研究人员指出，RondoDox在今年经历了三个明显的运营阶段：侦察与漏洞测试、自动化Web应用攻击，以及目前的大规模物联网僵尸网络部署。在现阶段，该僵尸网络每小时都会发起针对Linksys、Wavlink等消费级和企业级路由器的攻击波次，以招募新的僵尸节点，扩大其网络。