خلاصہ:
ایک نیا بوٹ نیٹ RondoDox یعنی رونڈوڈوکس دریافت ہوا ہے جو “شاٹ گن” طرز کے حملے کرتا ہے — یعنی ایک ساتھ 56 کمزوریوں (جن میں سے 18 کو ابھی تک CVE آئی ڈی نہیں ملی) کو نشانہ بناتا ہے۔ یہ بوٹ نیٹ 30 سے زائد کمپنیوں کے راؤٹرز، DVRs، NVRs، CCTV سسٹمز، ویب سرورز اور دیگر نیٹ ورک ڈیوائسز پر حملے کرتا ہے۔
رونڈوڈوکس نے مڈ 2025 میں اپنی سرگرمی شروع کی اور جلد ہی مشہور میلویئرز جیسے Mirai اور Morte کے ساتھ مل کر تیزی سے پھیل گیا۔ اس کے ذریعے متاثرہ ڈیوائسز کو کریپٹو مائننگ، DDoS اٹیکس اور انٹرپرائز نیٹ ورکس میں ہیکنگ کے لیے استعمال کیا جا رہا ہے۔
رونڈوڈوکس کیا ہے؟
رونڈوڈوکس ایک خطرناک ملٹی ایکسپلائیٹ بوٹ نیٹ ہے جو ایک ساتھ درجنوں مختلف کمزوریوں کو استعمال کرتا ہے۔ اس کا مقصد زیادہ سے زیادہ غیر محفوظ اور غیر اپڈیٹ شدہ ڈیوائسز کو ہیک کرنا ہے۔
اہم نکات:
•آغاز: مڈ 2025
•کمزوریاں (Vulnerabilities): 56 (جن میں 18 بغیر CVE نمبر کے)
•نشانہ بنائی جانے والی کمپنیاں: 30 سے زائد
•اہم CVEs:
•CVE-2023-1389 (TP-Link Archer AX21 راؤٹر)
•CVE-2024-3721 اور CVE-2024-12856 (TBK DVRs، Four-Faith Routers)
•ٹارگٹ سسٹمز: ARM، MIPS، اور مختلف Linux سسٹمز
•حملوں میں اضافہ: CloudSek کے مطابق 230% اضافہ مڈ 2025 کے بعد
•دیگر میلویئرز کے ساتھ پھیلاؤ: Mirai اور Morte کے ساتھ مل کر
•اہم صلاحیتیں: کریپٹو مائننگ، DDoS (HTTP/UDP/TCP)، کمزور پاس ورڈز کا غلط استعمال، اور نیٹ ورک میں گھسنے کی کوششیں
رونڈوڈوکس کی ٹائم لائن
•مڈ 2025: رونڈوڈوکس پہلی بار TP-Link کمزوری کے ذریعے متحرک پایا گیا۔
•جون 2025: TBK DVRs اور Four-Faith Routers پر حملے شروع کیے۔
•ستمبر 2025: CloudSek نے 230% حملوں میں اضافے کی رپورٹ دی۔ بوٹ نیٹ نے “Loader-as-a-Service” نظام سے اپنی ترسیل بڑھائی۔
رونڈوڈوکس کیوں خطرناک ہے؟
1.شاٹ گن حکمتِ عملی: ایک ہی وقت میں درجنوں کمزوریوں کو استعمال کرنا۔
2.غیر اپڈیٹ شدہ ڈیوائسز: پرانی CVEs اور کمزور پاس ورڈز کا فائدہ اٹھاتا ہے۔
3.دیگر بوٹ نیٹس کے ساتھ مل کر حملے: Mirai/Morte کے ساتھ ملنے سے اس کی طاقت کئی گنا بڑھ جاتی ہے۔
4.تیزی سے انفراسٹرکچر تبدیل کرنا: بار بار سرورز اور کمانڈ اینڈ کنٹرول چینجز سے ٹریکنگ مشکل۔
5.چھپنے کی صلاحیت: VPN سروس یا گیمنگ ٹریفک جیسا دکھا کر خود کو چھپاتا ہے۔
نقصان کیا ہو سکتا ہے؟
متاثرہ ڈیوائسز کا غلط استعمال ان کاموں کے لیے ہو رہا ہے:
•کریپٹو مائننگ (ڈیوائس کی طاقت اور بجلی کا ضیاع)
•DDoS حملے (HTTP/UDP/TCP کے ذریعے)
•انٹرپرائز نیٹ ورکس میں داخلہ (ڈیٹا چوری یا مزید ہیکنگ)
نشانات جو ہیک ہونے کی طرف اشارہ کرتے ہیں
•راؤٹر یا DVR میں غیر معمولی CPU یا میموری کا استعمال
•مشکوک آؤٹ باؤنڈ ٹریفک یا بار بار نئے IP کنکشنز
•VPN یا گیمنگ ٹریفک جیسی نقل کرنے والی نیٹ ورک سرگرمی
•لینکس بیسڈ ڈیوائسز میں نامعلوم پروسیسز یا بائنریز
•لاگ ان کوششوں کی غیر معمولی تعداد
•ڈیوائس کا بار بار کریش یا ریبوٹ ہونا
فوری حفاظتی اقدامات
1.تمام ڈیوائسز اپڈیٹ کریں — خاص طور پر CVE-2023-1389، CVE-2024-3721، CVE-2024-12856۔
2.پاس ورڈز تبدیل کریں — مضبوط اور منفرد پاس ورڈز استعمال کریں۔
3.ریموٹ ایکسس بند کریں — غیر ضروری HTTP/SSH/Telnet سروسز کو بند کریں۔
4.نیٹ ورک الگ کریں — CCTV/DVR/NVR کو مین بزنس نیٹ ورک سے الگ VLAN میں رکھیں۔
5.آؤٹ باؤنڈ ٹریفک کنٹرول کریں — مشکوک کنکشنز بلاک کریں۔
6.لاگز کو فعال کریں — تمام لاگز کو SIEM یا مرکزی لاگنگ سسٹم میں محفوظ کریں۔
7.ڈیفالٹ پورٹس تبدیل کریں — انتظامی پورٹس کو VPN یا مخصوص IPs کے ذریعے محفوظ کریں۔
8.ریٹ لمٹ اور ACLs لگائیں — بار بار اسکین یا لاگ ان کوششوں کو محدود کریں۔
9.ڈیوائس کی سالمیت چیک کریں — صرف منظور شدہ پروسیسز چلنے دیں۔
10.بیک اپ اور پلان تیار رکھیں — کسی بھی متاثرہ ڈیوائس کو فوری طور پر الگ کر سکیں۔
اگر ڈیوائس متاثر ہو جائے تو کیا کریں؟
1.ڈیوائس کو فوراً نیٹ ورک سے الگ کریں۔
2.اگر ممکن ہو تو فورینزک ڈیٹا (نیٹ ورک ٹریفک، پروسیس لسٹ وغیرہ) اکٹھا کریں۔
3.فیکٹری ری سیٹ کریں اور تازہ فِرم ویئر لگائیں۔
4.تمام پاس ورڈز دوبارہ سیٹ کریں۔
5.نیٹ ورک اسکین کریں تاکہ دوسرے متاثرہ سسٹمز کا پتہ لگ سکے۔
6.رپورٹ اپنی ٹیم یا قومی سائبر سیکیورٹی ادارے کو کریں۔
طویل مدتی سیکیورٹی اقدامات
•ایسٹس کی مکمل فہرست رکھیں — ہر ڈیوائس، اس کا ورژن اور اپڈیٹ اسٹیٹس۔
•پرانی ڈیوائسز کو ریٹائر کریں جو سیکیورٹی اپڈیٹس نہیں لیتیں۔
•زیرو ٹرسٹ ماڈل اپنائیں — ہر ڈیوائس کو غیر محفوظ تصور کریں۔
•باقاعدہ آڈٹ اور پین ٹیسٹنگ کروائیں۔
•عملے کو آگاہی دیں کہ ڈیوائس سیکیورٹی کتنی ضروری ہے۔
نتیجہ
رونڈوڈوکس یہ ظاہر کرتا ہے کہ ہیکرز کس طرح غیر محفوظ، پرانی اور نیٹ پر ظاہر ڈیوائسز کا فائدہ اٹھا رہے ہیں۔
اس کا “ایکسپلائیٹ شاٹ گن” ماڈل — جس میں درجنوں کمزوریاں، درجنوں کمپنیوں اور مختلف آرکیٹیکچرز کو نشانہ بنایا جاتا ہے — دفاع کرنے والوں کے لیے ایک بڑا چیلنج ہے۔
محفوظ رہنے کا واحد مؤثر طریقہ:
اپڈیٹس فوراً لگائیں، انٹرنیٹ ایکسپوژر کم کریں، مضبوط پاس ورڈ استعمال کریں، نیٹ ورک کو الگ رکھیں اور لاگنگ پر نظر رکھیں۔
فوری ایکشن چیک لسٹ (1–2 گھنٹوں میں مکمل کریں)
•انٹرنیٹ پر ظاہر ہونے والی تمام ڈیوائسز شناخت کریں۔
•فِرم ویئر اپڈیٹ کریں۔
•تمام پاس ورڈز بدلیں۔
•ریموٹ مینجمنٹ بند کریں۔
•لاگز محفوظ کریں اور 30 دن تک مانیٹر کریں۔
•مشکوک آؤٹ باؤنڈ ٹریفک روکیں۔
سورس
https://www.securityweek.com/rondodox-botnet-takes-exploit-shotgun-approach/
