Chiến dịch RondoDox đã phô diễn phương thức “exploit shotgun” tinh vi, khai thác hơn 50 **lỗ hổng CVE** trên hơn 30 nhà cung cấp thiết bị mạng để xâm nhập các thiết bị biên. Điều này nhấn mạnh sự cần thiết cấp bách của việc cập nhật bản vá nhanh chóng và giám sát liên tục để đối phó với các **mối đe dọa mạng** ngày càng tinh vi.

Sự xâm nhập RondoDox đầu tiên được phát hiện vào ngày 15 tháng 6 năm 2025 đã tái sử dụng một lỗ hổng kiểu command-injection đã được công bố tại Pwn2Own Toronto 2022: CVE-2023-1389. Lỗ hổng này nhắm vào giao diện WAN của các bộ định tuyến TP-Link Archer AX21.

Chiến Dịch RondoDox: Phương Thức Khai Thác Đa Dạng

Chiến dịch RondoDox được biết đến với khả năng khai thác một danh mục rộng lớn các điểm yếu bảo mật. Nó sử dụng một phương pháp mà các nhà nghiên cứu gọi là “exploit shotgun”.

Phương pháp này liên quan đến việc triển khai đồng thời nhiều mã khai thác khác nhau để tăng khả năng thành công trong việc xâm nhập các thiết bị mạng đa dạng. Đây là một chiến thuật hiệu quả để vượt qua các biện pháp phòng thủ truyền thống.

Khai Thác Nhanh Chóng Từ PoC Thành Vũ Khí Botnet

Lỗ hổng CVE-2023-1389 đã được vũ khí hóa trong các chiến dịch Mirai ngay sau khi được công bố. Điều này cho thấy tốc độ nhanh chóng mà mã proof-of-concept (PoC) từ các cuộc thi bảo mật chuyển đổi thành các công cụ botnet.

Việc này đặt ra một thách thức lớn cho các tổ chức, yêu cầu họ phải hành động cực kỳ nhanh chóng sau khi một lỗ hổng được công khai. Cửa sổ thời gian giữa công bố và khai thác thực tế đang ngày càng thu hẹp.

Kỹ Thuật Khai Thác CVE-2023-1389

Các nhà điều hành RondoDox đã sử dụng các lệnh PoC để tiêm shell và thả các payload đa kiến trúc. Mục tiêu chính là giành quyền kiểm soát thiết bị và cài đặt mã độc.

Ví dụ về lệnh được sử dụng để tiêm shell và thả payload bao gồm:

(echo -ne 'GET / HTTP/1.1rnHost: example.comrnUser-Agent: [email protected]rnrn' > /tmp/a; /bin/sh /tmp/a)

Lệnh này minh họa cách kẻ tấn công có thể lợi dụng lỗ hổng để thực thi mã tùy ý trên thiết bị. Các sản phẩm như Trend Vision One® đã cung cấp khả năng bảo vệ chống lại **lỗ hổng CVE**-2023-1389 ngay từ khi bản vá được phát hành.

Để biết thêm thông tin chi tiết về lỗ hổng này, có thể tham khảo tại NVD – CVE-2023-1389.

Phân Tích Chi Tiết Các **Lỗ Hổng CVE** Mục Tiêu

Ban đầu, RondoDox tập trung vào các thiết bị TBK DVR (CVE-2024-3721) và bộ định tuyến Four-Faith (CVE-2024-12856). Tuy nhiên, chiến dịch đã mở rộng kho vũ khí của mình một cách đáng kể.

Hiện tại, RondoDox bao gồm 56 lỗ hổng, trong đó có 38 lỗ hổng CVE đã được theo dõi và 18 lỗ hổng chưa được ghi nhận. Các loại lỗ hổng này rất đa dạng, bao gồm:

• Command Injection (CWE-78): Cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý.
• Path Traversal (CWE-22): Cho phép truy cập vào các tệp hoặc thư mục ngoài thư mục được chỉ định.
• Buffer Overflow (CWE-120): Có thể dẫn đến thực thi mã tùy ý hoặc từ chối dịch vụ.
• Authentication Bypass (CWE-287): Cho phép bỏ qua cơ chế xác thực.
• Memory Corruption (CWE-119): Gây ra hành vi không mong muốn của chương trình, thường dẫn đến thực thi mã.

Các Nhà Cung Cấp Bị Nhắm Mục Tiêu

Các nhà cung cấp thiết bị nổi bật bị nhắm mục tiêu bao gồm D-Link, Netgear, Linksys, QNAP, Tenda và ZyXEL, cùng nhiều hãng khác. Điều này cho thấy phạm vi ảnh hưởng rộng lớn của chiến dịch.

Nhiều **lỗ hổng CVE** mới được quan sát đã được bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của CISA. Điều này làm tăng thêm tính cấp bách cho các đội ngũ phòng thủ cần triển khai **bản vá bảo mật** nhanh chóng.

Mô Hình Loader-as-a-Service và Chiến Lược Tấn Công Mạng Ẩn Mình

Chiến dịch RondoDox hoạt động theo mô hình “loader-as-a-service”. Trong đó, mã độc RondoDox được đóng gói cùng với các payload của Mirai/Morte. Điều này tạo ra một cơ sở hạ tầng luân phiên.

Việc luân phiên cơ sở hạ tầng làm cho việc phát hiện và khắc phục trở nên phức tạp hơn đáng kể. Kẻ tấn công có thể thay đổi các chỉ số thỏa hiệp (IoC) một cách thường xuyên, làm khó các hệ thống phòng thủ tĩnh.

Thách Thức Phát Hiện và Đối Phó

Mô hình này cho phép RondoDox duy trì sự bền bỉ trong môi trường mục tiêu. Đồng thời, nó liên tục phát tán các biến thể mã độc khác. Các **lỗ hổng CVE** bị khai thác đóng vai trò là điểm vào ban đầu, sau đó duy trì quyền truy cập.

Điều này đòi hỏi các giải pháp bảo mật phải có khả năng giám sát động và phân tích hành vi nâng cao để phát hiện các hoạt động bất thường, thay vì chỉ dựa vào chữ ký tĩnh.

Thu Hẹp Cửa Sổ Khai Thác **Lỗ Hổng CVE**: Bài Học Từ RondoDox

RondoDox minh chứng rằng cửa sổ thời gian giữa công bố công khai và khai thác hàng loạt đang thu hẹp. Ngay cả các **lỗ hổng CVE** được công bố một cách có trách nhiệm cũng nhanh chóng trở thành vũ khí botnet.

Sự chuyển đổi nhanh chóng này đòi hỏi các tổ chức phải có quy trình phản ứng và cập nhật bản vá nhanh nhẹn. Việc trì hoãn dù chỉ vài ngày cũng có thể tạo ra rủi ro bị xâm nhập đáng kể.

Các Biện Pháp Phòng Ngừa và Phát Hiện Hiệu Quả

Các tổ chức duy trì các bộ định tuyến, DVR, NVR, hệ thống CCTV và các thiết bị biên mạng lộ diện ra internet phải áp dụng một tư thế bảo mật chủ động. Đây là yếu tố then chốt để bảo vệ khỏi các chiến dịch như RondoDox.

Quản Lý Tài Sản và Đánh Giá Lỗ Hổng Định Kỳ

Việc đánh giá **lỗ hổng CVE** định kỳ và kiểm kê tài sản là cần thiết để xác định firmware lỗi thời và các điểm cuối chưa được vá. Một danh sách tài sản chính xác giúp ưu tiên các nỗ lực vá lỗi.

Thiếu sót trong việc này có thể để lại những điểm mù lớn, tạo điều kiện cho kẻ tấn công tìm thấy và khai thác các điểm yếu đã biết.

Phân Đoạn Mạng và Giám Sát Liên Tục

Phân đoạn mạng có thể cô lập các hệ thống quan trọng, hạn chế sự di chuyển ngang (lateral movement) của kẻ tấn công trong trường hợp bị xâm nhập. Điều này giúp giảm thiểu thiệt hại nếu một thiết bị biên bị tấn công.

Giám sát liên tục và săn tìm mối đe dọa (threat hunting) là rất quan trọng. Việc tìm kiếm các lệnh tiến trình khớp với #!/bin/sh hoặc các user agent đáng ngờ như [email protected] có thể giúp phát hiện sớm hoạt động của RondoDox.

Chỉ Số Thỏa Hiệp (IoC) của RondoDox

Dưới đây là một số chỉ số thỏa hiệp (Indicators of Compromise – IoC) để hỗ trợ các đội ngũ phòng thủ:

• User-Agent đáng ngờ:[email protected]
• Mẫu lệnh shell: Các chuỗi lệnh bắt đầu bằng #!/bin/sh được thực thi bất thường.
• Địa chỉ IP/Domain: Thay đổi liên tục do mô hình luân phiên cơ sở hạ tầng.

Khả Năng Phát Hiện Với Nền Tảng Bảo Mật

Các khách hàng của Trend Vision One™ Threat Insights có thể tận dụng các tính năng phát hiện tích hợp sẵn. Ví dụ, quy tắc ZTH_Malware_RondoDox_Loader_A sẽ gắn cờ sự kết hợp của các lệnh shell và mẫu loader.

Ngoài ra, quy tắc ZTH_Malware_RondoDox_Email giúp phát hiện các chỉ số dựa trên email, nâng cao khả năng phản ứng.

Lời Khuyên Quan Trọng Cho Đơn Vị Phòng Thủ

Botnet RondoDox nhấn mạnh sự cần thiết cấp bách của việc triển khai bản vá nhanh chóng, quản lý tài sản cẩn thận và giám sát liên tục. Khi các phương pháp khai thác nhân lên, các đội ngũ phòng thủ phải thu hẹp cửa sổ **lỗ hổng CVE**.

Điều này có thể đạt được bằng cách tự động hóa quy trình vá lỗi, duy trì phân đoạn mạng hiệu quả và săn tìm các tín hiệu xâm phạm sớm. Các chiến lược chủ động này giúp thu hẹp cửa sổ khai thác **lỗ hổng CVE**.

Với các chiến lược chủ động và nền tảng hỗ trợ AI như Trend Vision One™, các tổ chức có thể đi trước các **mối đe dọa mạng** đa phương thức đang phát triển.