RondoDox amplía su botnet: más de 50 vulnerabilidades explotadas en routers y dispositivos IoT
La botnet RondoDox ha extendido su alcance explotando más de cincuenta vulnerabilidades en routers, DVR, NVR y servidores, poniendo en jaque la ciberseguridad de infraestructuras globales y revelando el avance de campañas automatizadas de infección masiva.
Investigadores advierten de la peligrosidad de RondoDox, un malware que ha escalado de atacar objetivos específicos a buscar vulnerabilidades masivas en más de 30 fabricantes de dispositivos expuestos en Internet. Desde routers SOHO hasta cámaras IP y servidores web, esta oleada de ataques aprovecha más de cincuenta fallos de seguridad, varios de ellos sin CVE asignado.
RondoDox emplea una estrategia de «shotgun exploit» (ataque de escopeta), usando un arsenal de exploits para tomar control de dispositivos mediante vulnerabilidades conocidas como CVE-2023-1389 (TP-Link Archer routers) y otras específicas de marcas como D-Link, Linksys, Netgear y Apache. El malware se propaga a través de servicios «loader-as-a-service», mezclando cargas útiles de Mirai y Morte, y logra infectar routers, NVR/DVR y otros endpoints gracias a credenciales débiles, entradas insanas y explotando viejos fallos.
Las consecuencias son severas: RondoDox crea gigantescas redes de bots capaces de realizar potentes ataques DDoS —HTTP, UDP, TCP— y propaga campañas de intrusión automatizada a nivel global. Esto pone en peligro la disponibilidad de servicios y la privacidad de los datos, con ejemplos como la botnet AISURU, responsable de algunos de los mayores ataques DDoS recientes y capaz de operar con hasta 300.000 hosts comprometidos.
La mejor defensa radica en actualizar firmware y parches de todos los dispositivos conectados, deshabilitar servicios expuestos innecesarios y establecer contraseñas robustas. También es fundamental segmentar la red y monitorizar accesos inusuales en dispositivos de borde. Si se detecta tráfico anómalo o dispositivos comprometidos, se recomienda aislarlos de inmediato y restaurar a valores de fábrica, seguidos de una actualización de seguridad antes de la reconexión.La evolución rápida de RondoDox y la combinación con variantes como Mirai elevan la necesidad de una gestión proactiva y continua de vulnerabilidades en el entorno IoT y empresarial. Solo mediante buenas prácticas de parcheo, contraseñas seguras y segmentación de red es posible limitar el impacto de estas amenazas que no dejan de ganar complejidad y alcance.