Ботнет RondoDox експлуатує вразливість React2Shell для зламу серверів Next.js

02.01.2026 1 хвилин Автор: Newsman

Аналітики з кібербезпеки зафіксували активну експлуатацію критичної вразливості React2Shell ботнетом RondoDox, який використовує її для компрометації вразливих серверів Next.js. Атаки призводять до встановлення шкідливого ПЗ та криптомайнерів на уражені системи.

Згідно зі звітом компанії CloudSEK, RondoDox почав масове сканування інтернету на наявність уразливих Next.js-серверів 8 грудня 2025 року, а вже за кілька днів розгорнув активну фазу зараження. Ботнет експлуатує вразливість React2Shell (CVE-2025-55182), яка дозволяє виконувати віддалений код без автентифікації через один HTTP-запит.

  • React2Shell впливає на всі фреймворки, що використовують React Server Components і протокол Flight, що робить Next.js особливо привабливою ціллю. За короткий період у грудні RondoDox здійснив понад 40 спроб експлуатації, поєднуючи атаки на вебсервери з паралельними хвилями зараження IoT-пристроїв.

  • Після успішного проникнення ботнет розгортає кілька компонентів: криптомайнер, завантажувач і модуль перевірки «здоров’я» системи, а також модифікований варіант Mirai. Один із компонентів очищає систему від конкуруючих ботнетів, забезпечує стійкість через cron-завдання та примусово завершує небажані процеси кожні 45 секунд.

RondoDox був уперше задокументований компанією Fortinet у липні 2025 року як масштабний ботнет, що активно експлуатує n-day вразливості. У листопаді були виявлені нові варіанти, які використовували RCE-уразливість у XWiki.

За даними Shadowserver Foundation, наприкінці грудня понад 94 000 інтернет-ресурсів залишалися вразливими до React2Shell. Раніше цю ж уразливість використовували й інші загрозливі актори, зокрема північнокорейські хакери, які розгортали власні шкідливі сімейства.

Активність RondoDox демонструє, як швидко критичні RCE-вразливості у популярних web-фреймворках перетворюються на інструмент масового зараження. Поєднання атак на Next.js-сервери та IoT-пристрої робить цей ботнет особливо небезпечним для бізнесу й хмарної інфраструктури.

Підписатися
Сповістити про
1 Коментар
Найстаріші
Найновіше Найбільше голосів
opiksunquit
5 місяців тому

Цікаво чого немає згадки про те що cloudflare почав захищати сайти від цієї врахливості

0
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.