top of page

RondoDox Botnet bùng phát: Khai thác hàng trăm lỗ hổng CVE, đe dọa tấn công DoS/DDoS quy mô lớn

  • 17 thg 3
  • 4 phút đọc

Các chuyên gia an ninh mạng vừa ghi nhận sự gia tăng nhanh chóng của một chiến dịch tấn công liên quan đến RondoDox botnet, một mạng botnet mới có khả năng khai thác hàng loạt lỗ hổng bảo mật đã biết (CVE) để phát động các cuộc tấn công Denial-of-Service (DoS/DDoS) với quy mô lớn và mức độ tinh vi cao.

Sự xuất hiện của RondoDox tiếp tục cho thấy xu hướng đáng lo ngại: tin tặc ngày càng tận dụng các lỗ hổng cũ chưa được vá để xây dựng hạ tầng tấn công mạnh mẽ, thay vì chỉ dựa vào zero-day.

RondoDox Botnet là gì?

RondoDox là một biến thể botnet nguy hiểm, được thiết kế nhằm chiếm quyền điều khiển các thiết bị dễ bị tổn thương trên Internet như router, camera IP, thiết bị IoT và máy chủ chưa được vá lỗi. Sau khi xâm nhập thành công, các thiết bị này sẽ bị biến thành “bot” trong mạng lưới tấn công phân tán (botnet).

Điểm đáng chú ý là RondoDox có khả năng tự động quét và khai thác hàng trăm lỗ hổng CVE đã biết, giúp nó lây lan nhanh chóng và mở rộng quy mô tấn công chỉ trong thời gian ngắn.


RondoDox - biến thể botnet nguy hiểm
RondoDox - biến thể botnet nguy hiểm - Nguồn: AdSecVN

Quy trình hoạt động điển hình bao gồm:

  1. Quét diện rộng (Mass scanning): Botnet liên tục quét Internet để tìm kiếm các thiết bị tồn tại lỗ hổng CVE chưa được vá.

  2. Khai thác lỗ hổng (Exploit): Tận dụng hàng trăm lỗ hổng bảo mật đã công bố, đặc biệt trên:

  3. Router

  4. Camera IP

  5. Thiết bị IoT

  6. Máy chủ web và dịch vụ mạng

  7. Chiếm quyền điều khiển (Infection): Sau khi khai thác thành công, thiết bị sẽ bị cài mã độc và trở thành một phần của botnet.

  8. Điều khiển tập trung (C2 – Command & Control): Các thiết bị bị nhiễm sẽ nhận lệnh từ máy chủ điều khiển để đồng loạt thực hiện tấn công DoS/DDoS.

Khai thác IP dân cư để gia tăng mức độ nguy hiểm

Một trong những đặc điểm nguy hiểm của RondoDox là việc sử dụng IP dân cư (residential IP) bị chiếm đoạt để thực hiện tấn công. Điều này khiến lưu lượng tấn công trở nên khó phát hiện hơn so với các botnet truyền thống sử dụng IP từ trung tâm dữ liệu.

Việc sử dụng IP thật từ người dùng cá nhân giúp botnet:

  • Dễ dàng vượt qua các hệ thống lọc và phát hiện tấn công

  • Tăng độ tin cậy của lưu lượng truy cập giả mạo

  • Gây khó khăn cho quá trình truy vết và ngăn chặn

Vì sao các lỗ hổng CVE cũ vẫn bị khai thác?

Các lỗ hổng CVE cũ vẫn tiếp tục bị khai thác là do nhiều doanh nghiệp chưa có quy trình quản lý và cập nhật bảo mật hiệu quả. Việc chậm vá lỗi, sử dụng thiết bị IoT không được quản lý tập trung, cùng với hạ tầng CNTT sử dụng thiết bị cũ hoặc firmware lỗi thời đã tạo ra nhiều “điểm yếu” tồn tại lâu dài trong hệ thống.

Bên cạnh đó, việc thiếu một quy trình quản lý tài sản CNTT (IT Asset Management) khiến doanh nghiệp khó kiểm soát và phát hiện các lỗ hổng tiềm ẩn. Đối với tin tặc, các lỗ hổng đã được công bố thường là mục tiêu ưu tiên vì dễ khai thác, có sẵn mã exploit và mang lại tỷ lệ tấn công thành công cao, giúp chúng nhanh chóng mở rộng quy mô botnet và thực hiện các chiến dịch tấn công trên diện rộng.


Rủi ro đối với doanh nghiệp khi RondoDox Botnet bùng phát
Rủi ro đối với doanh nghiệp khi RondoDox Botnet bùng phát - Nguồn: AI

Mức độ ảnh hưởng và rủi ro đối với doanh nghiệp

RondoDox có thể được sử dụng để thực hiện các cuộc tấn công DoS/DDoS với quy mô lớn, gây ra nhiều hệ quả nghiêm trọng:

  • Gián đoạn dịch vụ: Website, hệ thống nội bộ hoặc ứng dụng bị ngừng hoạt động

  • Suy giảm hiệu suất hệ thống: Tăng tải đột ngột khiến hệ thống phản hồi chậm hoặc quá tải

  • Thiệt hại tài chính và uy tín: Ảnh hưởng trực tiếp đến trải nghiệm khách hàng và doanh thu

  • Tăng nguy cơ tấn công chuỗi: DoS có thể được dùng làm “mồi nhử” để che giấu các cuộc tấn công khác

Khuyến nghị bảo mật từ chuyên gia

Trước mối đe dọa từ RondoDox botnet, các tổ chức và doanh nghiệp cần chủ động triển khai các biện pháp phòng ngừa:

1. Cập nhật bản vá bảo mật (Patch Management): Đảm bảo tất cả hệ thống, thiết bị mạng và phần mềm được cập nhật bản vá mới nhất để tránh bị khai thác từ các lỗ hổng CVE đã biết.

2. Tăng cường giám sát mạng (Network Monitoring): Triển khai các hệ thống giám sát lưu lượng để phát hiện sớm các dấu hiệu bất thường hoặc tấn công DoS.



3. Bảo vệ thiết bị IoT và hạ tầng mạng

  • Thay đổi mật khẩu mặc định

  • Tắt các dịch vụ không cần thiết

  • Phân tách mạng (network segmentation)

4. Triển khai giải pháp bảo mật nhiều lớp: Kết hợp firewall, IDS/IPS, và các giải pháp chống DDoS để nâng cao khả năng phòng thủ.

5. Kiểm tra và đánh giá lỗ hổng định kỳ: Thực hiện quét lỗ hổng và kiểm thử xâm nhập (Pentest) để phát hiện và xử lý sớm các điểm yếu trong hệ thống.

------

Sự xuất hiện và lan rộng của RondoDox botnet là lời cảnh báo rõ ràng về mức độ nguy hiểm của các lỗ hổng chưa được vá trong hệ thống CNTT. Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc chủ động cập nhật bảo mật và giám sát hệ thống liên tục là yếu tố then chốt giúp doanh nghiệp giảm thiểu rủi ro và đảm bảo hoạt động ổn định.

------

Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page