Rondodox

O malware de botnet conhecido como RondoDox está atacando instâncias do XWiki que não foram atualizadas, aproveitando uma falha de segurança crítica identificada como CVE-2025-24893, que possui uma pontuação CVSS de 9.8. Essa vulnerabilidade, que permite a execução remota de código arbitrário, foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0RC1 do XWiki, lançadas em fevereiro de 2025. Desde março, houve indícios de que a falha estava sendo explorada, mas foi em outubro que a VulnCheck reportou um aumento significativo nas tentativas de exploração, culminando em um pico em 7 de novembro. O RondoDox, que rapidamente está adicionando novos vetores de exploração, visa dispositivos vulneráveis para realizar ataques de negação de serviço distribuída (DDoS) utilizando protocolos HTTP, UDP e TCP. Além disso, outras tentativas de ataque têm sido observadas, como a entrega de mineradores de criptomoedas e a criação de shells reversos. A CISA dos EUA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo que agências federais implementem as devidas mitig ações até 20 de novembro. Este cenário ressalta a importância de práticas robustas de gerenciamento de patches para garantir a proteção adequada.

A campanha de malware RondoDox tem se expandido, visando mais de 50 vulnerabilidades em mais de 30 fornecedores, incluindo dispositivos como roteadores, DVRs e NVRs. A Trend Micro identificou uma tentativa de invasão em 15 de junho de 2025, explorando uma falha de segurança em roteadores TP-Link. O RondoDox, documentado pela Fortinet em julho de 2025, utiliza uma abordagem de ’loader-as-a-service’, combinando suas cargas com as de outros malwares como Mirai e Morte, o que torna a detecção mais desafiadora. As vulnerabilidades abrangem marcas conhecidas como D-Link, NETGEAR e Cisco, com 18 delas sem identificador CVE. A campanha representa uma evolução significativa na exploração automatizada de redes, passando de ataques a dispositivos únicos para operações multivetoriais. Além disso, um botnet chamado AISURU, que opera principalmente a partir de dispositivos IoT comprometidos nos EUA, também está em ascensão, controlando cerca de 300.000 hosts globalmente. A atividade de botnets está crescendo, com um ataque coordenado envolvendo mais de 100.000 endereços IP de 100 países, com foco em serviços RDP nos EUA, a maioria dos quais se origina de países como Brasil e Argentina.

Pesquisadores de segurança estão alertando sobre a nova botnet RondoDox, que explora 56 vulnerabilidades em mais de 30 tipos de dispositivos conectados à internet. Diferente de botnets tradicionais que costumam focar em uma única vulnerabilidade, RondoDox adota uma abordagem chamada ’exploit shotgun’, atacando múltiplas falhas simultaneamente, o que a torna barulhenta e facilmente detectável por defensores. Os dispositivos afetados incluem roteadores, câmeras de segurança e sistemas de DVR de marcas conhecidas como QNAP, D-Link e Netgear. A maioria das vulnerabilidades já possui patches disponíveis, o que facilita a defesa. As recomendações incluem manter o firmware atualizado, isolar redes e usar senhas fortes. A campanha ainda está ativa, e a rápida evolução das táticas de cibercriminosos indica um futuro preocupante para a segurança cibernética, com a exploração automatizada de infraestruturas antigas em larga escala.

A campanha de botnet RondoDox, identificada pela Trend Micro, tem se expandido para explorar mais de 50 vulnerabilidades em dispositivos de rede expostos à internet, como roteadores, sistemas de CFTV e servidores web. Desde sua primeira detecção em junho de 2025, a RondoDox tem utilizado uma abordagem de ‘shotgun exploit’, atacando múltiplas falhas simultaneamente. As vulnerabilidades exploradas incluem a CVE-2023-1389, que permite injeção de comandos em roteadores TP-Link, e outras como CVE-2024-3721 e CVE-2024-12856, que afetam DVRs e roteadores de diferentes fabricantes. A análise técnica revelou que 50% das falhas exploradas são de injeção de comandos, enquanto as demais incluem problemas de travessia de caminho e corrupção de memória. A campanha representa um risco elevado para organizações que operam dispositivos de rede expostos, permitindo a exfiltração de dados e comprometimento persistente da rede. A rápida evolução das técnicas de exploração exige que as empresas realizem atualizações imediatas e adotem medidas proativas de segurança.