Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Botnet RondoDox inarrestabile: React2Shell su Next.js apre migliaia di server a takeover e DDoS
Una nuova campagna di botnet chiamata RondoDox sta colpendo in modo continuo da mesi dispositivi IoT e applicazioni web, con l’obiettivo di arruolare sistemi compromessi in una rete controllata da criminali informatici. Il punto di forza di questa offensiva è lo sfruttamento della vulnerabilità React2Shell, identificata come CVE-2025-55182 e valutata con gravità massima.
Il problema riguarda React Server Components e Next.js e permette a un attaccante non autenticato di ottenere esecuzione di codice da remoto, aprendo la strada al controllo completo del server vulnerabile.
Il rischio è amplificato dai numeri: a fine 2025 risultano ancora decine di migliaia di istanze esposte, con una concentrazione elevata negli Stati Uniti e una presenza significativa anche in Europa e Asia. Questo significa che molte aziende, sviluppatori e provider potrebbero avere applicazioni Next.js pubblicate online senza patch, diventando bersagli facili per scansioni automatiche.
RondoDox non è un fenomeno improvvisato. La campagna è stata descritta come evoluta in più fasi, partendo da ricognizione e scansioni manuali, passando a test di vulnerabilità su larga scala contro piattaforme diffuse come WordPress, Drupal e Struts2, oltre a dispositivi IoT come router, fino ad arrivare a una distribuzione automatizzata e frequente dei payload. Nel periodo più recente gli attaccanti avrebbero cercato server Next.js vulnerabili per installare componenti diversi: miner di criptovalute, strumenti di caricamento e controllo dello stato del sistema e persino una variante di Mirai, nota per trasformare dispositivi IoT in nodi utili per attacchi DDoS.
Un elemento chiave è il loader che elimina malware concorrenti e miner rivali, ripulendo processi e tracce, e poi imposta persistenza tramite modifiche pianificate, così da mantenere il controllo nel tempo. Questa strategia rende più difficile la bonifica e aumenta la stabilità della botnet.
Per ridurre il rischio è fondamentale aggiornare Next.js a versioni corrette, separare i dispositivi IoT in VLAN dedicate, usare un WAF per filtrare richieste malevole, monitorare esecuzioni di processi sospetti e bloccare infrastrutture di comando e controllo note, migliorando la postura di sicurezza di rete e applicazioni web.