https://www.dailysecu.com/news/articleView.html?idxno=204080
React2Shell 악용 본격화…RondoDox 봇넷, 웹 서버 넘어 IoT까지 장악 - 데일리시큐
리액트(React) 기반 서버 취약점인 ‘React2Shell’을 악용한 RondoDox 봇넷 공격이 전 세계적으로 확산되고 있다. 이 취약점은 넥스트.js(Ne
www.dailysecu.com
리액트 (React) 기반 서버 취약점인 'React2Shell'을 악용한 RondoDox 봇넷 공격이 전 세계로 확산되고 있음. 이 취약점은 Next.js 환경에도 영향을 미치는 원격 코드 실행 취약점으로, 공격자들은 이를 초기 침투 경로로 삼아 암호화폐 채굴기와 Mirai 계열 봇넷을 동시에 설치하고 있음.
React2Shell (CVE-2025-55182)
React, Next.js 서버 액션 처리 과정에서 입력값 검증이 제대로 이뤄지지 않아 발생. 공격자는 인증 절차 없이 조작된 요청을 보내 서버에서 임의의 명령을 실행할 수 있음.
인터넷에 노출된 Next.js 서버가 주요 공격 대상
RondoDox 공격은 자동화된 방식으로 진행됨. 공격자는 노출된 Next.js 서버를 지속적으로 스캔한 뒤, 취약한 시스템을 발견하면 즉시 악성 코드 다운로드 명령을 실행.
RondoDox 침투
서버 자원을 무단으로 사용하는 암호화폐 채굴기가 실행됨 -> 서버 성능 저하와 서비스 장애가 발생
봇넷 로더와 관리 모듈 설치 -> 다른 악성 코드 제거하고 허용되지 않은 프로세스를 주기적으로 종료, 크론 작업을 통해 시스템 재부팅 이후에도 악성코드가 유지되도록 함.
공격 대상
웹 서버에 국한되지 않고 x86, x96_64,ARM,MIPS 등 다양한 시슽메 구조를 지원하는 악성코드 배포.
클라우드 서버, 기업 네트워크 장비, 엣지 장비까지 감염.
위협 가능성
인터넷 노출된 공유기, IP 카메라, 네트워크 장비를 운영하는 기업은 시간 단위로 자동화된 공격 시도에 노출되어 있음. 감염 시, 봇넷 편입과 디도스 공격 가담, 무단 화폐 채굴 등으로 이어질 수 있음.
'보안 > 뉴스 스크랩' 카테고리의 다른 글
| [보안/뉴스] 포티넷 FortiSIEM 보안 취약점 (0) | 2026.01.16 |
|---|---|
| [보안/뉴스] 텔레그램 프록시 사용해도 '실제 IP' 노출 위험 (0) | 2026.01.16 |
| [보안/뉴스] 북한 김수키 'Quishing' 공격 (0) | 2026.01.12 |
| [보안/뉴스] Kimwolf 안드로이드 봇넷 (1) | 2026.01.08 |
| [보안/뉴스] 2025 리테일 및 이커머스 보안 보고서 (0) | 2026.01.07 |