Ransomware
RondoDox: Von Pwn2Own-Lücken bis zu Shotgun-Exploits
Eine groß angelegte RondoDox Botnet-Kampagne nutzt über 50 Sicherheitslücken bei mehr als 30 Anbietern aus, auch solche, die erstmals bei Pwn2Own-Wettbewerben entdeckt wurden. Es geht um Datenexfiltrierung, Netzwerkkompromittierung und Betriebsstörung.
Save to Folio
Wichtige Erkenntnisse
- Die Kampagne setzt Unternehmen mit exponierter Infrastruktur dem Risiko von Datenexfiltrierung, persistenter Netzwerkkompromittierung und Betriebsstörungen aus.
- Unternehmen, die dem Internet zugängliche Netzwerkgeräte betreiben, sind einem erhöhten Risiko ausgesetzt.
- Priorisieren Sie das Patchen aller aufgeführten Schwachstellen, insbesondere derjenigen im KEV-Katalog. Führen Sie regelmäßige Schwachstellenbewertungen durch, segmentieren Sie Netzwerke, um laterale Bewegungen zu begrenzen, und überwachen Sie Geräte kontinuierlich auf anomale Aktivitäten.
Die Teams von Trend Zero Day Initiative™ (ZDI) Threat Hunting und Trend™ Research haben eine große RondoDox Botnet-Kampagne identifiziert, die auf eine Vielzahl über das Internet zugängliche Infrastrukturen abzielt. Diese Kampagne nutzt über 50 Exploits, darunter ungepatchte Bugs in Routern von über 30 Anbietern. Während die Exploits speziell Schwachstellen in Routern, DVRs, NVRs, CCTV-Systemen, Webservern und Netzwerkgeräten missbrauchen, verwendet die neueste Kampagne einen „Exploit-Shotgun“-Ansatz, bei dem mehrere Exploits eingesetzt werden, um zu sehen, welcher funktioniert.
Der erste RondoDox-Einbruchsversuch begann im Juni 2025, als wir auf der Pwn2Own-Veranstaltung in Toronto eine bekannte Schwachstelle identifizierten. Sie wird unter CVE-2023-1389 geführt und zielt auf die WAN-Schnittstelle des TP-Link Archer AX21 Wi-Fi-Routers ab. Wir hatten bereits 2023, kurz nach dem Pwn2Own-Event, über eine Mirai-Kampagne berichtet, die CVE-2023-1389 missbrauchte.
Hintergrund: Ein neues Botnet entsteht
RondoDox tauchte Mitte 2025 als verdeckte Botnet-Kampagne auf, die langjährige Command Injection-Schwächen in internetfähigen Routern, DVRs, NVRs, CCTV-Systemen und anderen Netzwerkgeräten ausnutzte, um Shell-Zugriff zu erlangen und letztendlich Multiarchitektur-Payloads zu platzieren. Die erste RondoDox-Analyse von FortiGuard Labs beleuchtete eine erste Kampagne, die sich auf TBK-DVRs und Four-Faith-Router konzentrierte und CVE-2024-3721 und CVE-2024-12856 ausnutzte.
In jüngerer Zeit hat die Botnet-Kampagne seine Verbreitung durch die Verwendung einer „Loader-as-a-Service“-Infrastruktur ausgeweitet, die RondoDox mit Mirai/Morte-Payloads zusammenpackt – was die Erkennung und Behebung noch dringlicher macht.
Der Originalbeitrag enthält die Zeitachse der RondoDox-Sicherheitslücke, von der ersten Offenlegung und Erkennung im Jahr 2025 bis zur schließlich weit verbreiteten Ausnutzung in groß angelegten Kampagnen.
Exploit-Shotgun: Das erweiterte Arsenal
Aufbauend auf CVE-2023-1389 und anderen Schwachstellen wie CVE-2024-3721 und CVE-2024-12856 umfasst das erweiterte Arsenal von RondoDox nun mehrere zusätzliche CVEs und Exploit-Samples. Dies ist ein klares Zeichen dafür, dass sich die Kampagne über den Angriff einzelner Geräte hinaus zu einer Multivektor-Loader-Operation entwickelt.
Insbesondere haben Forscher die aktive Ausnutzung von CVE-2024-3721 (TBK DVR) und CVE-2024-12856 (Four-Faith-Router) mit der Aktivität von RondoDox in Verbindung gebracht, und eine Untergruppe der neu beobachteten Schwachstellen wurde in den Katalog der bekannten ausgenutzten Schwachstellen der CISA aufgenommen, wodurch sie zu sofortigen Patch-Zielen mit hoher Priorität für Verteidiger wurde.
Nachfolgend listen wir die neuen CVEs auf, die Forscher in RondoDox-Kampagnen entdeckt haben, und fassen zusammen, wie jede einzelne davon eingesetzt wird. Eine Tabelle finden Sie im Originalbeitrag:
Von RondoDox angegriffene Schwachstellen
- Gesamtzahl der Schwachstellen: 56
- Keine CVE zugewiesen: 18
- CVE zugewiesen: 38
- Command Injection (CWE-78): 50
- Path Traversal (CWE-22): 2
- Buffer Overflow (CWE-120): 1
- Umgehung der Authentifizierung (CWE-287): 1
- Memory Corruption (CWE-119): 1
Strategien für ein effektives Schwachstellenmanagement
Die jüngste RondoDox Botnet-Kampagne stellt eine bedeutende Weiterentwicklung im Bereich der automatisierten Netzwerkausnutzung dar und zeigt, wie Angreifer weiterhin sowohl öffentlich bekannt gewordene Schwachstellen als auch Zero-Day-Exploits, die bei Sicherheitswettbewerben wie Pwn2Own entdeckt wurden, in ihr Arsenal aufnehmen.
Die unangenehme Wahrheit dabei: Selbst wenn Sicherheitsforscher Schwachstellen verantwortungsbewusst offenlegen und Anbieter Patches herausgeben, wird der Zeitraum zwischen der öffentlichen Bekanntgabe und der weit verbreiteten Ausnutzung immer kürzer, während der Lebenszyklus von N-Day-Exploits eine ständige Herausforderung für Geräte und ihre Anbieter bleibt. Unternehmen, die das Patchen verzögern oder keine umfassenden Bestandsaufnahmen ihrer Netzwerk-Edge-Geräte führen, bieten Kampagnen wie RondoDox die Möglichkeit, sich dauerhaft in einer Unternehmensinfrastruktur zu etablieren.
In Zukunft müssen Verteidiger eine proaktive Sicherheitsstrategie verfolgen, die regelmäßige Schwachstellenbewertungen, Netzwerksegmentierung zur Begrenzung lateraler Bewegungen, Einschränkung der Internet-Exposition und kontinuierliche Überwachung auf Anzeichen von Kompromittierung umfasst.
Proaktive Sicherheit mit Trend Vision One™
Trend Vision One™ ist eine KI-gestützte Cybersicherheitsplattform für Unternehmen, die das Management von Cyberrisiken, Sicherheitsmaßnahmen und robusten mehrschichtigen Schutz zentralisiert. Dieser ganzheitliche Ansatz hilft Unternehmen dabei, Bedrohungen vorherzusagen und zu verhindern, wodurch proaktive Sicherheitsergebnisse in ihrer gesamten digitalen Umgebung beschleunigt werden.