React2Shell 漏洞(CVE-2025-55182)的威脅態勢持續升溫。繼本刊先前報導多個中國國家級駭客組織利用該漏洞發動攻擊後,資安研究機構 CloudSEK 與 Rewterz 近日發現,RondoDox 殭屍網路已將這項滿分漏洞納入武器庫,對全球約 90,300 台暴露的 Next.js 伺服器展開自動化掃描與攻擊,標誌著 React2Shell 威脅已從針對性間諜行動擴散至大規模自動化攻擊階段。
從國家級攻擊到殭屍網路大規模利用
CVE-2025-55182 於 2024 年 12 月初公開揭露,影響全球最廣泛使用的前端框架 React 與 Next.js,CVSS 嚴重度評分達滿分 10.0。該漏洞源於伺服器動作(Server Actions)中的原型污染(Prototype Pollution)與反序列化缺陷,允許未經身分驗證的攻擊者透過單一 HTTP 請求即可達成遠端程式碼執行,進而完全控制受影響伺服器。
CloudSEK 在最新報告中指出,RondoDox 殭屍網路正積極且持續地掃描存在漏洞的 Next.js 伺服器,並部署多種惡意載荷。「使用 Next.js 伺服器動作的企業,特別是存在原型污染漏洞的版本,面臨嚴重的遠端程式碼執行風險,且近期已觀察到活躍的漏洞利用行為」,CloudSEK 研究人員警告。
RondoDox 攻擊載荷與技術特徵
根據 Rewterz 於元旦發布的分析報告,
RondoDox 針對 React2Shell 漏洞部署的載荷包括加密貨幣挖礦程式、殭屍網路載入器與健康檢查元件,以及 Mirai 殭屍網路變種。該殭屍網路的載入器模組展現出高度侵略性,會主動移除競爭惡意軟體、每 45 秒終止非白名單程序、透過排程工作(cron jobs)建立持久性機制,並阻止其他攻擊者重複感染同一台主機。
Rewterz 統計顯示,全球約有 90,300 台存在漏洞的伺服器暴露於網際網路,其中以美國數量最多,其次為德國、法國與印度。這些暴露的伺服器每小時都面臨自動化攻擊嘗試。
殭屍網路持續擴張版圖
RondoDox 殭屍網路最早由 Fortiguard Labs 於 2025 年 5 月發現,當時主要利用數位錄影機(DVR)與路由器的已知漏洞進行攻擊。Trend Micro 於 10 月發布的報告指出,該殭屍網路已大幅擴張,現可利用近 60 個漏洞攻擊各類網路設備,包括路由器、DVR、網路錄影機(NVR)、網頁伺服器與監控系統,並整合 Mirai 與 Morte 物聯網惡意軟體家族。
相關文章:台灣是React2Shell 攻擊密度最高地區之一!中國駭客組織與勒索軟體集團積極利用
CloudSEK 警告,
RondoDox 的多階段攻擊鏈從網頁應用程式漏洞利用(如 WordPress、Drupal、Struts2、WebLogic)開始取得初始存取權限,接著進行憑證竊取、橫向移動,最終鎖定物聯網基礎設施。該殭屍網路針對 x86、x86_64、MIPS、ARM 與 PowerPC 等多種處理器架構部署二進位檔案,並具備多重備援下載機制,確保載荷能在雲端實例、邊緣設備與嵌入式系統等多元環境中成功部署。
企業防護建議
研究人員建議企業應立即採取以下措施抵禦 RondoDox 攻擊:將 Next.js 與 React 伺服器元件升級至已修補版本以消除 RCE 風險;將物聯網設備隔離至專屬虛擬區域網路(VLAN)以限制橫向移動;部署網頁應用程式防火牆(WAF)阻擋漏洞利用嘗試;限制管理介面與開發伺服器的網際網路曝露;監控可疑程序執行與未知二進位檔案;偵測並移除惡意排程工作;於網路與防火牆層級封鎖已知命令與控制(C2)基礎設施;實施持續性弱點掃描以識別暴露的過時服務。
本文轉載自darkreading。