嘶货

一款名为RondoDox的新型大规模僵尸网络，正针对30多种不同设备中的56个漏洞发起攻击，其中包括首次在Pwn2Own黑客大赛期间披露的漏洞。

攻击者的目标涵盖各类暴露在外的设备，包括数字录像机（DVR）、网络录像机（NVR）、闭路电视系统（CCTV）和网络服务器，且自6月以来一直在活跃运作。

RondoDox僵尸网络采用了Trend Micro研究人员的策略。即同时使用多个漏洞利用工具，以实现感染量最大化，即便这类操作会产生大量明显痕迹也不例外。

自FortiGuard Labs发现RondoDox以来，该僵尸网络似乎已扩大了其利用的漏洞列表，其中包括CVE-2024-3721和CVE-2024-12856这两个漏洞。

大规模的n-day漏洞利用

在最新发布的一份报告中，RondoDox利用了CVE-2023-1389漏洞。该漏洞存在于TP-Link Archer AX21无线路由器中，最初是在2022年多伦多Pwn2Own大赛上被演示披露的。

Pwn2Own是由Trend Micro零日漏洞计划（Zero Day Initiative，简称ZDI）每年举办两次的黑客大赛。在大赛中，白帽黑客团队会演示针对广泛使用产品中零日漏洞的利用方法。

RondoDox TP-Link 漏洞利用时间表

安全研究人员指出，僵尸网络开发者会密切关注Pwn2Own大赛期间演示的漏洞利用技术，并迅速将其武器化。2023年Mirai僵尸网络对CVE-2023-1389漏洞的利用，就是典型案例。

以下是RondoDox攻击武器库中包含的2023年后的n-day漏洞列表：

·Digiever设备——CVE-2023-52163

·QNAP设备——CVE-2023-47565

·LB-LINK设备——CVE-2023-26801

·TRENDnet设备——CVE-2023-51833

·D-Link设备——CVE-2024-10914

·TBK设备——CVE-2024-3721

·Four-Faith设备——CVE-2024-12856

·Netgear设备——CVE-2024-12847

·AVTECH设备——CVE-2024-7029

·TOTOLINK设备——CVE-2024-1781

·Tenda设备——CVE-2025-7414

·TOTOLINK设备——CVE-2025-1829

·Meteobridge设备——CVE-2025-4008

·Edimax设备——CVE-2025-22905

·Linksys设备——CVE-2025-34037

·TOTOLINK设备——CVE-2025-5504

·TP-Link设备——CVE-2023-1389

老旧漏洞（尤其是已达生命周期终点设备中的漏洞）风险极高，因为这类漏洞更可能长期处于未修复状态。而仍在支持范围内的硬件中的较新漏洞同样危险，因为许多用户在设备设置完成后，往往会忽略固件更新。

安全研究人员发现，RondoDox整合了针对18个命令注入漏洞的利用工具，这些漏洞尚未分配漏洞标识。它们会影响D-Link网络附加存储（NAS）设备、TVT和LILIN品牌的DVR、Fiberhome、ASMAX及Linksys路由器、Brickcom摄像头，以及其他未明确标识的终端设备。

RondoDox及其他僵尸网络攻击防御建议

为防范RondoDox及其他僵尸网络攻击，建议人们可采取以下措施：

RondoDox僵尸网络在全球攻击行动中针对56个n-day漏洞发起攻击