RondoDox botnet exploits React2Shell flaw to breach Next.js servers

1 minute de lecture

Mis à jour : December 31, 2025

RondoDox Exploite une Vulnérabilité Critique dans les Serveurs Next.js

La botnet RondoDox tire parti de la faille React2Shell, identifiée sous la référence CVE-2025-55182, pour compromettre des serveurs Next.js vulnérables. Cette brèche, qui permet une exécution de code à distance non authentifiée via une simple requête HTTP, affecte tous les frameworks utilisant le protocole ‘Flight’ de React Server Components, y compris Next.js.

Plusieurs acteurs malveillants ont déjà exploité cette vulnérabilité, notamment des pirates nord-coréens qui ont déployé la famille de logiciels malveillants EtherRAT. Selon des rapports de sécurité, près de 94 000 actifs exposés sur Internet seraient vulnérables à React2Shell. RondoDox, connue pour cibler diverses vulnérabilités, a intensifié ses attaques via React2Shell en décembre, lançant de nombreuses tentatives d’exploitation. La botnet déploie des clients sur les serveurs compromis, injectant des logiciels malveillants tels que des mineurs de cryptomonnaies, un chargeur de botnet et des variantes du Mirai. Le composant ‘bolts’ de RondoDox est conçu pour éliminer les logiciels malveillants concurrents, assurer la persistance et surveiller les processus.

Points Clés :

La botnet RondoDox exploite la vulnérabilité React2Shell (CVE-2025-55182).
Les serveurs Next.js sont particulièrement ciblés.
La faille permet l’exécution de code à distance non authentifiée.
D’autres groupes de pirates ont utilisé cette faille.
RondoDox déploie des logiciels malveillants, dont des mineurs et des variantes de Mirai.

Vulnérabilité :

React2Shell (CVE-2025-55182) : Exécution de code à distance non authentifiée exploitable via une requête HTTP, affectant les frameworks utilisant React Server Components (RSC) ‘Flight’ comme Next.js.

Recommandations :

Auditer et appliquer les correctifs aux actions serveur de Next.js.
Isoler les appareils IoT dans des réseaux locaux virtuels dédiés.
Surveiller l’exécution de processus suspects sur les serveurs.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

RondoDox botnet exploits React2Shell flaw to breach Next.js servers

Partager sur

Vous pourriez aimer

U.S. Treasury Lifts Sanctions on Three Individuals Linked to Intellexa and Predator Spyware

Trust Wallet Chrome Extension Hack Drains $8.5M via Shai-Hulud Supply Chain Attack

Researchers Spot Modified Shai-Hulud Worm Testing Payload on npm Registry

Nouvelle campagne Shai-Hulud et cheval de Troie Jackson sur Maven

New ErrTraffic service enables ClickFix attacks via fake browser glitches

ErrTraffic : Automatisation des Attaques ClickFix par Faux Glitchs de Navigateur