一款名为 RondoDox 的新型大规模僵尸网络，正针对 30 多种不同设备中的 56 个漏洞发起攻击，其中包括首次在 Pwn2Own 黑客大赛期间披露的漏洞。

攻击者的目标涵盖各类暴露在外的设备，包括数字录像机（DVR）、网络录像机（NVR）、闭路电视系统（CCTV）和网络服务器，且自 6 月以来一直在活跃运作。

RondoDox 僵尸网络采用了 Trend Micro 研究人员的策略。即同时使用多个漏洞利用工具，以实现感染量最大化，即便这类操作会产生大量明显痕迹也不例外。

自 FortiGuard Labs 发现 RondoDox 以来，该僵尸网络似乎已扩大了其利用的漏洞列表，其中包括 CVE-2024-3721 和 CVE-2024-12856 这两个漏洞。

大规模的 n-day 漏洞利用

在最新发布的一份报告中，RondoDox 利用了 CVE-2023-1389 漏洞。该漏洞存在于 TP-Link Archer AX21 无线路由器中，最初是在 2022 年多伦多 Pwn2Own 大赛上被演示披露的。

Pwn2Own 是由 Trend Micro 零日漏洞计划（Zero Day Initiative，简称 ZDI）每年举办两次的黑客大赛。在大赛中，白帽黑客团队会演示针对广泛使用产品中零日漏洞的利用方法。

RondoDox TP-Link 漏洞利用时间表

安全研究人员指出，僵尸网络开发者会密切关注 Pwn2Own 大赛期间演示的漏洞利用技术，并迅速将其武器化。2023 年 Mirai 僵尸网络对 CVE-2023-1389 漏洞的利用，就是典型案例。

以下是 RondoDox 攻击武器库中包含的 2023 年后的 n-day 漏洞列表：

·Digiever 设备—— CVE-2023-52163

·QNAP 设备—— CVE-2023-47565

·LB-LINK 设备—— CVE-2023-26801

·TRENDnet 设备—— CVE-2023-51833

·D-Link 设备—— CVE-2024-10914

·TBK 设备—— CVE-2024-3721

·Four-Faith 设备—— CVE-2024-12856

·Netgear 设备—— CVE-2024-12847

·AVTECH 设备—— CVE-2024-7029

·TOTOLINK 设备—— CVE-2024-1781

·Tenda 设备—— CVE-2025-7414

·TOTOLINK 设备—— CVE-2025-1829

·Meteobridge 设备—— CVE-2025-4008

·Edimax 设备—— CVE-2025-22905

·Linksys 设备—— CVE-2025-34037

·TOTOLINK 设备—— CVE-2025-5504

·TP-Link 设备—— CVE-2023-1389

老旧漏洞（尤其是已达生命周期终点设备中的漏洞）风险极高，因为这类漏洞更可能长期处于未修复状态。而仍在支持范围内的硬件中的较新漏洞同样危险，因为许多用户在设备设置完成后，往往会忽略固件更新。

安全研究人员发现，RondoDox 整合了针对 18 个命令注入漏洞的利用工具，这些漏洞尚未分配漏洞标识。它们会影响 D-Link 网络附加存储（NAS）设备、TVT 和 LILIN 品牌的 DVR、Fiberhome、ASMAX 及 Linksys 路由器、Brickcom 摄像头，以及其他未明确标识的终端设备。

RondoDox 及其他僵尸网络攻击防御建议

为防范 RondoDox 及其他僵尸网络攻击，建议人们可采取以下措施：

1. 为设备安装最新可用的固件更新，并更换已达生命周期终点（EoL）的设备。

2. 建议对网络进行分段，将关键数据与连接互联网的物联网设备（IoT）或访客网络隔离开来。

3. 将设备默认凭据替换为安全性更高的密码。