Botnet RondoDox : Menace sur les Serveurs Next.js et les Objets Connectés en 2025
Célestine Rochefour
Un botnet nommé RondoDox a exploité une vulnérabilité critique dans React Server Components pour compromettre des milliers de serveurs web et d’objets connectés. En décembre 2025, plus de 90 000 instances étaient encore exposées.
Comprendre la vulnérabilité React2Shell (CVE-2025-55182)
La faille de sécurité identifiée sous le référentiel CVE-2025-55182, et communément appelée React2Shell, constitue une menace sérieuse pour l’écosystà ̈me web moderne. Cette vulnérabilité affecte les React Server Components (RSC) ainsi que le framework Next.js. Elle permet à un attaquant non authentifié d’exécuter du code à distance (RCE) sur les serveurs vulnérables.
Le problà ̈me réside dans la manià ̈re dont certains serveurs traitent les données entrantes avant le rendu. Si un serveur est mal configuré, l’attaquant peut injecter un payload malveillant qui est interprété comme du code exécutable par le serveur. Cela transforme un simple serveur web en une porte d’entrée pour des séries d’instructions.
Ce qu’il faut retenir sur CVE-2025-55182 :
- Score CVSS : 10.0 (Critique). Le score maximal indique un risque extrÃame, nécessitant une correction immédiate.
- Vecteur d’attaque : Il ne nécessite pas de crédentials. N’importe qui sur internet peut tenter d’exploiter la faille.
- Impact : Prise de contrà ́le totale du serveur, souvent sans laisser de traces immédiates visibles par l’utilisateur final.
La nature de cette faille rappelle l’importance de la sécurité des chaînes d’outils de développement (DevSecOps). Les frameworks comme Next.js sont populaires pour leur performance, mais leur complexité introduit parfois des surfaces d’attaque négligées.
L’opération RondoDox : Une campagne de neuf mois
Le botnet RondoDox, apparue dà ̈s le début de l’année 2025, a su adapter ses méthodes pour maximiser son emprise. L’exploitation de React2Shell n’est que la dernià ̈re étape d’une stratégie évolutive.
Les chercheurs en cybersécurité ont identifié trois phases distinctes dans le déroulement de cette campagne :
- Phase de Reconnaissance (Mars - Avril 2025) : Les opérateurs ont effectué des scans manuels pour identifier des vulnérabilités connues sur des serveurs web et des objets connectés (IoT). L’objectif était de cartographier le terrain.
- Phase de Probing Massif (Avril - Juin 2025) : L’attaque est devenue quotidienne. Les robots ont scanné des applications populaires comme WordPress, Drupal, et Struts2, ainsi que des routeurs spécifiques (notamment les marques Wavlink).
- Phase d’Automatisation (Juillet - Décembre 2025) : Le botnet a passé en mode horaire, déployant des scripts d’infection de manià ̈re automatisée et à grande échelle.
Cette progression montre une planification méthodique. L’ajout de CVE-2025-55182 a permis d’accélérer massivement le taux d’infection.
L’arsenal technique du botnet
Une fois que le botnet réussit à s’introduire via la faille React2Shell, il déploie une série de fichiers malveillants dans des répertoires spécifiques, notamment dans le dossier /nuts/. Voici les composants principaux détectés :
- Le détecteur de concurrence ("/nuts/bolts") : Ce script est le “propre” du botnet. Il analyse le systà ̈me toutes les 45 secondes pour tuer tout processus suspect ou miner de cryptomonnaie concurrent. Il nettoie également les cron jobs et les artefacts d’autres campagnes.
- Le chargeur de botnet ("/nuts/poop") : Il s’agit souvent d’un mineur de cryptomonnaie (comme XMRig) utilisé comme porte d’entrée pour masquer l’activité principale.
- Le variant Mirai ("/nuts/x86") : C’est le payload final. Il transforme l’appareil en un bot capable de lancer des attaques DDoS (Déni de Service Distribué).
Le mécanisme de persistence :
Pour s’assurer que le malware survit à un redémarrage, RondoDox modifie le fichier /etc/crontab. Cela garantit que le botnet se recharge automatiquement, rendant le nettoyage difficile sans intervention manuelle approfondie.
L’état des lieux en France et dans le monde
Selon les données de la Shadowserver Foundation en date du 31 décembre 2025, l’ampleur du périmà ̈tre est inquiétante :
“Il reste environ 90 300 instances susceptibles d’Ãatre vulnérables à cette faille.”
La répartition géographique montre que le danger est global, mais certains pays sont plus touchés que d’autres :
- États-Unis : 68 400 serveurs exposés (majorité du parc).
- Allemagne : 4 300 instances.
- France : 2 800 instances.
- Inde : 1 500 instances.
Pour la France, ces chiffres signifient que des centaines d’entreprises et de services publics pourraient potentiellement servir de relais à des attaques DDoS ou à l’hébergement de malwares.
Comparaison des vulnérabilités exploitées par RondoDox
RondoDox ne se limite pas à React2Shell. Le botnet intà ̈gre progressivement d’autres failles connues pour élargir sa surface d’attaque.
| Vulnérabilité | Type | Cible principale | Niveau de risque |
|---|---|---|---|
| CVE-2025-55182 (React2Shell) | Exécution de code à distance (RCE) | Serveurs Next.js / React | Critique (10.0) |
| CVE-2023-1389 | RCE | Routeurs TP-Link (Smart Hub) | Haut |
| CVE-2025-24893 | Inclusion de fichiers | Serveurs d’applications PHP | Haut |
Cette stratégie “multi-vecteurs” rend le botnet plus résistant. Si un administrateur patch une faille, le botnet peut toujours compromettre le systà ̈me via une autre vulnérabilité non corrigée.
Stratégies de mitigation et de défense
Face à cette menace persistante, une simple mise à jour ne suffit pas toujours. Il faut une approche de défense en profondeur.
1. Mise à jour urgente
La priorité absolue est d’appliquer les correctifs pour Next.js et React Server Components. Si vous utilisez une version antérieure à la version patchée, votre serveur est une cible potentielles.
2. Segmentation réseau (IoT)
Pour les appareils IoT compromis, il est crucial de les isoler. Utilisez des VLANs séparés pour les objets connectés afin d’empÃacher qu’ils ne servent de point d’entrée vers le réseau principal de l’entreprise.
3. Pare-feu d’Application Web (WAF)
Un WAF peut bloquer les requÃates HTTP malformées qui tentent d’exploiter la faille React2Shell avant qu’elles n’atteignent votre serveur.
4. Surveillance des processus
L’activité de RondoDox est trà ̈s spécifique (exécution de scripts dans /nuts/, scan de /proc). Des outils de surveillance comportementale peuvent détecter ces anomalies.
Conclusion
L’ascension du botnet RondoDox démontre la vitesse à laquelle les menaces évoluent en 2025. En exploitant une faille critique dans des technologies web populaires comme Next.js, les cybercriminels parviennent à constituer des réseaux de botnets capables de déstabiliser l’internet.
Les administrateurs systà ̈mes et les développeurs doivent collaborer pour fermer ces brà ̈ches. La corrélation entre la complexité du code (React RSC) et la surface d’attaque est un facteur déterminant. En appliquant les patchs de sécurité et en renforçant la surveillance des logs, vous réduisez drastiquement le risque de faire partie des 90 000 serveurs vulnérables recensés.