Vulnerabilità

RondoDox sfrutta React2Shell su Next.js mentre IBM segnala una falla critica in API Connect

di Redazione
scritto da Redazione 0 commenti
rondodox react2shell api connect

RondoDox intensifica le operazioni contro server Next.js sfruttando la vulnerabilità React2Shell, mentre IBM API Connect finisce sotto i riflettori per una falla critica che consente il bypass dell’autenticazione, delineando nel 2025 uno scenario di minacce convergenti che colpiscono sia l’ecosistema web open source sia le piattaforme enterprise. La combinazione tra botnet attive su larga scala e vulnerabilità ad alto impatto evidenzia come l’esposizione di framework e servizi API rappresenti oggi uno dei principali vettori di rischio per infrastrutture pubbliche e aziendali.

Nel corso del 2025 la sicurezza informatica si è trovata ad affrontare una pressione crescente derivante da campagne automatizzate sempre più aggressive e da vulnerabilità critiche in prodotti ampiamente adottati. La botnet RondoDox, già documentata a luglio, ha ampliato il proprio raggio d’azione integrando nuovi exploit, mentre IBM ha diffuso un avviso urgente relativo a una falla con punteggio CVSS 9.8 in API Connect. Due filoni apparentemente distinti che convergono in un unico punto: la superficie di attacco dei servizi web moderni.

RondoDox e l’offensiva contro Next.js

La botnet RondoDox è stata inizialmente osservata in attività di ricognizione tra marzo e aprile 2025, con campagne mirate a individuare servizi vulnerabili esposti su internet. In una fase successiva, tra aprile e giugno, l’operatività si è evoluta verso l’exploit automatizzato di applicazioni web, preparando il terreno per un dispiegamento su larga scala. A partire da luglio 2025, come documentato da Fortinet, RondoDox ha iniziato a integrare componenti IoT e varianti derivate da Mirai, segnando il passaggio a una botnet in grado di scalare rapidamente.

Il salto qualitativo avviene a dicembre, quando CloudSEK rileva scansioni attive contro server Next.js vulnerabili a partire dall’8 dicembre 2025, seguite dal deploy dei client botnet tre giorni dopo. Il vettore principale è la vulnerabilità React2Shell (CVE-2025-55182), che consente esecuzione di codice remoto non autenticata tramite una singola richiesta HTTP. La falla colpisce il protocollo Flight utilizzato dalle React Server Components, rendendo framework come Next.js un obiettivo privilegiato.

Secondo i dati della Shadowserver Foundation, al 30 dicembre 2025 risultano oltre 94.000 asset esposti potenzialmente vulnerabili a React2Shell. Questo bacino ha permesso a RondoDox di condurre oltre 40 tentativi di exploit in soli sei giorni, con un ritmo che indica una forte automazione e una capacità di adattamento rapida alle contromisure.

Dal punto di vista operativo, la botnet distribuisce payload multipli sui sistemi compromessi. CloudSEK ha identificato un coinminer installato nel percorso /nuts/poop, un loader e health checker in /nuts/bolts e una variante Mirai collocata in /nuts/x86. Il componente “bolts” svolge un ruolo cruciale nella persistenza, rimuovendo malware concorrenti, modificando /etc/crontab e terminando processi non whitelisted ogni 45 secondi, assicurando il controllo esclusivo della macchina infetta.

RondoDox estende inoltre le proprie capacità attraverso ondate orarie di exploit IoT, prendendo di mira router consumer come Linksys e Wavlink, oltre a dispositivi enterprise. Questa strategia consente l’arruolamento continuo di nuovi nodi, amplificando la rete e aumentando la resilienza complessiva della botnet.

React2Shell e l’impatto sui framework web

La vulnerabilità React2Shell (CVE-2025-55182) rappresenta uno dei casi più critici del 2025 per l’ecosistema web. La falla risiede nella gestione delle richieste Flight all’interno delle React Server Components e consente a un attaccante remoto di eseguire codice arbitrario senza autenticazione e con bassa complessità. L’assenza di prerequisiti rende l’exploit particolarmente adatto a campagne automatizzate come quelle di RondoDox.

Framework basati su React Server Components, con Next.js come target primario, risultano esposti se non adeguatamente patchati o configurati. La rapidità con cui RondoDox ha integrato l’exploit, passando dalla scansione al deploy in pochi giorni, dimostra come le vulnerabilità n-day vengano ormai assorbite quasi immediatamente nei toolkit delle botnet.

L’impatto non si limita al singolo server compromesso. Una volta ottenuto l’accesso, RondoDox utilizza la macchina come punto di partenza per ulteriori scansioni, mining di criptovalute e propagazione IoT, trasformando vulnerabilità applicative in moltiplicatori di rischio infrastrutturale.

IBM API Connect e il bypass dell’autenticazione

Parallelamente alle attività di RondoDox, IBM ha pubblicato un avviso di sicurezza relativo alla vulnerabilità CVE-2025-13915 in API Connect, una piattaforma ampiamente utilizzata per la gestione end-to-end delle API in contesti enterprise. La falla, con punteggio CVSS 9.8 su 10, consente a un attaccante remoto non autenticato di bypassare i meccanismi di autenticazione, ottenendo accesso non autorizzato con bassa complessità e senza interazione dell’utente.

Le versioni interessate includono 10.0.8.0 fino a 10.0.8.5 e 10.0.11.0. Al momento della divulgazione non risultano evidenze di exploit attivi in natura, ma la criticità della vulnerabilità ha spinto IBM a raccomandare l’applicazione immediata delle patch disponibili tramite Fix Central. Le istruzioni prevedono l’estrazione dei file Readme.md e del pacchetto ibm-apiconnect-<version>-ifix.13195.tar.gz, con procedure differenziate a seconda dell’ambiente, inclusi VMware, OpenShift e Kubernetes.

Come misura temporanea di mitigazione, IBM consiglia di disabilitare la funzionalità di self-service sign-up sul Developer Portal, qualora attiva, riducendo così la superficie di attacco. API Connect è utilizzata in settori ad alta criticità come banking, healthcare, retail e telecommunications, rendendo il potenziale impatto di un bypass dell’autenticazione particolarmente elevato in termini di esposizione dei dati e continuità operativa.

Convergenza delle minacce e implicazioni per il 2025

L’elemento comune tra RondoDox e la vulnerabilità di IBM API Connect non è soltanto la gravità tecnica, ma la convergenza tra attacchi automatizzati e falle enterprise ad alto impatto. Da un lato una botnet sfrutta framework web moderni per arruolare risorse e generare profitto, dall’altro una vulnerabilità in una piattaforma API rischia di aprire accessi non autorizzati a infrastrutture critiche.

Nel caso di RondoDox, React2Shell abbassa drasticamente la soglia di ingresso, consentendo infezioni rapide e su larga scala. Nel caso di API Connect, il bypass dell’autenticazione espone servizi progettati per essere il cuore della sicurezza applicativa. In entrambi gli scenari, la velocità di patching e la visibilità sugli asset esposti diventano fattori determinanti per la resilienza.

Le campagne osservate indicano come gli attaccanti nel 2025 siano in grado di integrare rapidamente nuovi exploit, adattare le tattiche e sfruttare la fiducia riposta in framework e piattaforme consolidate. La distinzione tra minacce IoT, web ed enterprise appare sempre più sfumata, sostituita da catene di attacco ibride.

Un ecosistema sotto pressione

Il 2025 conferma un trend chiaro: framework web e piattaforme API rappresentano obiettivi ad alta priorità. RondoDox dimostra come una singola vulnerabilità in Next.js possa essere trasformata in un vettore globale di compromissione, mentre l’avviso IBM su API Connect evidenzia la fragilità di meccanismi di autenticazione complessi quando emergono bug critici.

Per sviluppatori e organizzazioni, la risposta non può limitarsi alla reazione a singoli incidenti. Audit continui delle applicazioni Next.js, patch tempestive delle vulnerabilità React Server Components, isolamento dei dispositivi IoT e applicazione immediata delle fix enterprise diventano requisiti minimi. La sicurezza, nel contesto attuale, è sempre più una questione di velocità e visibilità.

RondoDox e la falla in API Connect non sono episodi isolati, ma segnali di un ecosistema sotto pressione, in cui l’innovazione rapida deve necessariamente essere accompagnata da un rafforzamento strutturale delle pratiche di sicurezza.

Domande frequenti su RondoDox e IBM API Connect

Che cos’è la botnet RondoDox

RondoDox è una botnet attiva dal 2025 che sfrutta vulnerabilità web e IoT per arruolare server e dispositivi, distribuendo coinminer, loader persistenti e varianti Mirai.

Perché RondoDox prende di mira Next.js

Next.js è un target primario perché implementa React Server Components, colpite dalla vulnerabilità React2Shell che consente esecuzione di codice remoto non autenticata.

Che tipo di vulnerabilità colpisce IBM API Connect

La vulnerabilità CVE-2025-13915 consente a un attaccante remoto non autenticato di bypassare i meccanismi di autenticazione, ottenendo accesso non autorizzato.

Qual è la mitigazione immediata consigliata da IBM

IBM raccomanda l’applicazione immediata delle patch ufficiali e, come misura temporanea, la disabilitazione del self-service sign-up sul Developer Portal.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.