Um novo botnet em larga escala, chamado RondoDox, está explorando 56 vulnerabilidades em mais de 30 dispositivos diferentes, incluindo falhas inicialmente divulgadas em competições de hacking Pwn2Own.
O atacante mira diversos tipos de equipamentos expostos, como DVRs, NVRs, sistemas de CFTV e servidores web, com atividades detectadas desde junho deste ano.
Pesquisadores da Trend Micro descrevem a estratégia do RondoDox como um “exploit shotgun”: o botnet utiliza múltiplos exploits simultaneamente para ampliar as infecções, mesmo que essa abordagem gere muito ruído e evidências.
Desde que os laboratórios FortiGuard Labs identificaram o RondoDox, o botnet ampliou sua lista de vulnerabilidades exploradas, incluindo falhas como
CVE-2024-3721
e
CVE-2024-12856
.
Em relatório divulgado hoje, a Trend Micro ressalta que o RondoDox também explora a vulnerabilidade
CVE-2023-1389
, presente no roteador TP-Link Archer AX21 Wi-Fi, que foi demonstrada pela primeira vez na competição Pwn2Own Toronto, em 2022.
Vale lembrar que o Pwn2Own é uma competição de hacking realizada duas vezes ao ano pela Zero Day Initiative (ZDI), iniciativa da Trend Micro.
Nela, equipes de white hat apresentam exploits para vulnerabilidades zero-day em produtos amplamente utilizados.
Os especialistas observam que os desenvolvedores do botnet acompanham atentamente os exploits demonstrados nesses eventos e rapidamente os transformam em armas, seguindo lógica semelhante à do malware Mirai, que em 2023 também explorou a
CVE-2023-1389
.
A seguir, a lista de falhas n-day pós-2023 que o RondoDox utiliza em seu arsenal:
- Digiever –
CVE-2023-52163
- QNAP –
CVE-2023-47565
- LB-LINK –
CVE-2023-26801
- TRENDnet –
CVE-2023-51833
- D-Link –
CVE-2024-10914
- TBK –
CVE-2024-3721
- Four-Faith –
CVE-2024-12856
- Netgear –
CVE-2024-12847
- AVTECH –
CVE-2024-7029
- TOTOLINK –
CVE-2024-1781
- Tenda –
CVE-2025-7414
- TOTOLINK –
CVE-2025-1829
- Meteobridge –
CVE-2025-4008
- Edimax –
CVE-2025-22905
- Linksys –
CVE-2025-34037
- TOTOLINK –
CVE-2025-5504
- TP-Link –
CVE-2023-1389
Falhas mais antigas, principalmente em dispositivos fora de suporte (end of life), representam riscos consideráveis, pois tendem a permanecer sem patch.
Porém, vulnerabilidades recentes em equipamentos ainda suportados também são perigosas, já que muitos usuários ignoram as atualizações de firmware após a instalação inicial.
Além disso, a Trend Micro identificou que o RondoDox possui exploits para 18 vulnerabilidades de command injection ainda sem identificação CVE.
Essas vulnerabilidades afetam unidades NAS da D-Link, DVRs da TVT e LILIN, roteadores da Fiberhome, ASMAX e Linksys, câmeras Brickcom, além de outros dispositivos não identificados.
Para se proteger contra ataques do RondoDox e outros botnets, é fundamental manter o firmware dos dispositivos sempre atualizado e substituir equipamentos fora de suporte.
Recomenda-se também segmentar a rede para isolar dados críticos dos dispositivos IoT expostos à internet ou de conexões de convidados, além de substituir senhas padrão por credenciais fortes e seguras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...