RondoDox Botnet Zenginleşen Arsenal ile 174 Zafiyeti Hedefliyor
RondoDox botnet, 174 zafiyeti hedef alarak günde 15.000 saldırı gerçekleştiriyor. React2Shell zafiyeti öne çıkarken, operatörler stratejik değişime gidiyor.
RondoDox botnet, siber güvenlik dünyasında giderek büyüyen bir tehdit olarak karşımıza çıkıyor. Bitsight tarafından yayınlanan son rapora göre, botnet operatörleri 174 farklı zafiyeti hedef alarak günde 15.000'e kadar sömürü denemesi gerçekleştiriyor.
Botnet Operasyonunun Evrimi
Trend Micro tarafından ilk kez 15 Haziran 2025'te tespit edilen RondoDox aktivitesi, başlangıçta TP-Link Archer AX21 yönlendiricilerindeki CVE-2023-1389 zafiyetini sömürüyordu. Pwn2Own 2023'te sergilenen bu zafiyet, botnetler arasında hala popülerliğini koruyor.
Temmuz ayında FortiGuard Labs, botnetin CVE-2024-3721 ve CVE-2024-12856 zafiyetlerini sömürdüğünü tespit etti. 2024'ten beri aktif olan RondoDox, tespit edilmekten kaçınmak için özel kütüphaneler kullanıyor ve oyun veya VPN trafiğini taklit ediyor.
174 Zafiyet ve Stratejik Değişim
Bitsight araştırmacıları, 25 Mayıs 2025 ile 16 Şubat 2026 arasında 174 farklı zafiyet tespit etti:
- 148 CVE numaralı zafiyet
- 15 zafiyet için public PoC mevcut ancak CVE yok
- 11 zafiyet için public PoC bulunamadı
Zaman çizelgesi, saldırganların zafiyetleri sürekli döndürdüğünü gösteriyor. Kullanım, düşük seviyelerden Ekim 2025'te bir günde 49 zafiyete kadar yükseldi, ardından yaklaşık 40 civarında stabilize oldu ve 2026 başında keskin bir düşüş yaşadı. Bu durum, daha az ancak daha etkili zafiyetlere yönelik bir kaymayı işaret ediyor.
React2Shell Zafiyeti Öne Çıktı
Aralık ayında CloudSEK araştırmacıları, RondoDox botnetinin kritik React2Shell zafiyetini (CVE-2025-55182) sömürerek savunmasız Next.js sunuculara malware ve cryptominer bıraktığını bildirdi.
Raporda şu ifadelere yer veriliyor:
En radikal değişim, Ocak 2026 başında gözlemlendi. Yaklaşık 40 zafiyetten sadece iki zafiyete düştük. Bunlardan biri CVE-2023-46604, diğeri ise 3 Aralık 2025'te açıklanan ve saldırganlar tarafından 6 Aralık 2025'te listeye eklenen React2Shell (CVE-2025-55182).
Hedef Cihazlar
Ekim ayında Trend Micro, RondoDox botnetinin 30'dan fazla cihaz türünde 56 bilinen zafiyeti sömürdüğünü bildirdi. Hedefler arasında:
- DVR ve NVR sistemleri
- CCTV kameralar
- Web sunucuları
- Yönlendiriciler
Tehdit İstihbaratında Yanlış Bilgiler
BitSight araştırmacıları, RondoDox hakkında bazı iddiaları çürüttü. Sözde loader-as-a-service panelinin aslında POST isteklerinin bir günlüğü olduğu, saldırgan altyapısı olmadığı ortaya çıktı. Benzer şekilde, iddia edilen P2P C2 iddiaları da desteksiz.
Sonuç
RondoDox operatörleri, yeni açıklanan zafiyetleri hızla benimsiyor ve bazen resmi yayından haftalar önce, erken PoC erişimi sayesinde sömürüye başlıyor. Ancak uygulama tutarsız: bazı sömürüler yanlış uygulanmış veya eksik, bu da etkinliği azaltıyor.
Siber güvenlik uzmanları, botnet operatörlerinin artık daha az sayıda ancak daha kritik zafiyetlere odaklandığını vurguluyor.
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.