RondoDox殭屍網路利用React2Shell漏洞入侵物聯網設備與伺服器

近日，資安研究人員發現了一個名為RondoDox的殭屍網路，它利用React2Shell漏洞（CVE-2025-55182）入侵物聯網設備和伺服器，從而進行惡意活動。這個漏洞是一個未經驗證的遠程代碼執行漏洞，可以通過單個HTTP請求利用，影響所有實現React Server Components（RSC）’Flight’協議的框架，包括Next.js。

根據CloudSEK的報告，RondoDox殭屍網路已經活躍了九個月，最初針對IoT設備和網路應用程式進行掃描和入侵。近期，它們將目標轉移到了利用React2Shell漏洞入侵Next.js伺服器。這個漏洞可以允許攻擊者在受影響的設備上執行任意代碼，從而導致惡意軟件的安裝和加密貨幣的挖掘。

主要發現

RondoDox殭屍網路利用React2Shell漏洞入侵Next.js伺服器，从而進行惡意活動。
這個漏洞是一個未經驗證的遠程代碼執行漏洞，可以通過單個HTTP請求利用，影響所有實現React Server Components（RSC）’Flight’協議的框架，包括Next.js。
根據Shadowserver Foundation的統計，截至2025年12月31日，仍有約90,300個Next.js伺服器易受React2Shell漏洞的影響，其中68,400個位於美國。

討論

React2Shell漏洞的利用代表了一個嚴重的安全威脅，尤其是對於那些使用Next.js框架的企業和組織。這個漏洞可以允許攻擊者在受影響的設備上執行任意代碼，從而導致惡意軟件的安裝和加密貨幣的挖掘。因此，使用Next.js框架的企業和組織應該盡快更新和修復這個漏洞，以防止RondoDox殭屍網路的入侵和惡意活動。