2025 yılının son çeyreğinde, RondoDox adlı botnet kampanyası, React Server Components (RSC) ve Next.js platformlarında bulunan kritik React2Shell açığını (CVE-2025-55182, CVSS: 10.0) kullanarak IoT cihazları ve web sunucularını hedef almaya başladı. Bu zafiyet, doğrulanmamış saldırganların uzaktan kod çalıştırmasına olanak tanıyor ve dünya genelinde yaklaşık 90.300 cihazın savunmasız olduğu tahmin ediliyor.
Saldırı Zinciri ve Teknik Detaylar
RondoDox kampanyası, 2025 başlarında başlayan üç aşamalı bir süreçle ilerledi:
- Mart – Nisan 2025: Manuel güvenlik açığı taraması ve keşif faaliyetleri.
- Nisan – Haziran 2025: WordPress, Drupal, Struts2 gibi popüler web uygulamalarının yanı sıra Wavlink gibi IoT cihazlarının kitlesel günlük taramaları.
- Temmuz – Aralık 2025: Saatlik otomatik dağıtım ve yayılma aşaması.
İstismar sonrası, enfekte edilen cihazlara çeşitli zararlılar yerleştiriliyor. Bunlar arasında kripto para madencisi (“/nuts/poop”), botnet yükleyici ve sağlık denetleyicisi (“/nuts/bolts”) ile Mirai botnet varyantı (“/nuts/x86”) bulunuyor. “Nuts/bolts” varyantı, C2 sunucusundan ana bot ikilisini indirmeden önce rakip kötü amaçlı yazılımları ve madencileri sonlandırmak için tasarlanmış. Ayrıca, bu varyant kalıcılık sağlamak amacıyla “/etc/crontab” dosyasını kullanıyor ve Docker tabanlı yükler ile önceki kampanyalardan kalan kalıntıları temizliyor.
Hangi Sistemler Risk Altında?
Shadowserver Foundation verilerine göre, en çok etkilenen ülkeler arasında ABD (68.400 cihaz), Almanya (4.300), Fransa (2.800) ve Hindistan (1.500) yer alıyor. Özellikle Next.js sunucuları ve Wavlink gibi IoT cihazları hedefleniyor. Bu durum, bulut güvenliği ve ağ segmentasyonu gibi alanlarda ek önlemler alınmasını gerektiriyor.
Siber Güvenlik Ekipleri İçin Öneriler
Bu tehditten korunmak için kurumların aşağıdaki önlemleri uygulaması kritik:
- Next.js ve ilgili bileşenleri yamalı en güncel sürümlere hızla güncellemek.
- IoT cihazlarını özel VLAN’lara ayırarak ağ segmentasyonu sağlamak.
- Web Uygulama Güvenlik Duvarları (WAF) kullanarak uygulama katmanında koruma sağlamak.
- Şüpheli süreç yürütmelerini ve sistem çağrılarını EDR çözümleri ile izlemek.
- Bilinen komut ve kontrol (C2) altyapılarını firewall ve SIEM sistemleri ile engellemek.
- Olay müdahale (incident response) planlarını güncel tutmak ve düzenli tatbikatlar yapmak.
- Log yönetiminde özellikle /proc dizini tarama aktiviteleri ve cron işlerinin izlenmesine öncelik vermek.
Teknik Özet
- Kullanılan zararlılar: Kripto madencisi (/nuts/poop), botnet yükleyici ve sağlık denetleyicisi (/nuts/bolts), Mirai botnet varyantı (/nuts/x86).
- Hedef sektörler ve bölgeler: Web sunucuları, IoT cihazları; ABD, Almanya, Fransa, Hindistan.
- Kullanılan zafiyetler: CVE-2025-55182 (React2Shell), CVE-2023-1389, CVE-2025-24893.
- Saldırı zinciri: Manuel keşif → Kitlesel tarama → Otomatik yayılma ve zararlı yükleme.
- Önerilen savunma: Hızlı yama uygulaması, ağ segmentasyonu, WAF, EDR ve SIEM entegrasyonu, C2 engelleme.
RondoDox botneti, özellikle konteyner ortamlarında rastgele SSH portları üzerinden erişim denemeleri yaparken, Pydantic AI ve MCP istemcisi gibi modern araçlarla entegre saldırılar gerçekleştirebiliyor. Bu nedenle, bulut güvenliği ve IAM politikalarının da gözden geçirilmesi önem taşıyor.
Sonuç olarak, bu tür gelişmiş tehditlere karşı çok katmanlı savunma stratejileri ve sürekli izleme mekanizmaları kritik önem taşıyor. Siber güvenlik profesyonelleri, e-posta güvenliği ve fidye yazılımı gibi diğer tehditlerle birlikte bu saldırı vektörlerini de göz önünde bulundurarak kapsamlı önlemler almalıdır.