Check Point Research により、HPE OneView に影響を与える重大な脆弱性をターゲットとするボットネットによる積極的で組織された悪用キャンペーンが特定されました。
この活動は Linux ベースの RondoDox ボットネットに関連付けられており、Check Point はこのキャンペーンが初期の調査試行から大規模で自動化された攻撃への急激なエスカレーションを示していると警告しました。
HPE OneView の脆弱性 CVE-2025-37164 は、2025年12月16日に国家脆弱性データベース(NVD)に最初に公開され、HPE により CVSS 3.1 スコア 10(重大)の評価を受けました。
1月15日に公開された更新で、Check Point は数万件の悪用試行をすでにブロックしたと述べており、脆弱性の深刻さと組織が行動する必要性の緊急性の両方を強調しています。
2025年12月に初期の悪用活動を検出し、脆弱性に対する保護措置を展開した後、Check Point は2026年1月に積極的な悪用の劇的な増加を観察しました。
1月7日、UTC 05:45 から 09:20 の間に、同社は CVE-2025-37164 を悪用する 40,000 件以上の攻撃試行を記録しました。
「分析は、これらの試行が自動化された、ボットネット主導の悪用であることを示しています」と Check Point は述べました。
RondoDox は 2025年半ばに最初に公開され、Check Point は、12月の React2Shell CVE-2025-55182 を含む著名な脆弱性を積極的に悪用しているのを観察しており、特にパッチが適用されていないエッジおよび周辺インフラに焦点を当てています。
Check Point Research は同日、キャンペーンを CISA に報告し、脆弱性は同日、既知の悪用された脆弱性(KEV)カタログに 追加されました。
HPE OneView は、計算、ストレージ、ネットワーク リソースの管理を自動化する IT インフラストラクチャ管理プラットフォームであり、様々な業種の組織で広く使用されています。
重大な RCE 脆弱性は、id-pools 機能に関連付けられた公開された ExecuteCommand REST API エンドポイントに存在します。
エンドポイントは、認証または認可チェックなしで攻撃者が提供した入力を受け入れ、認証または認可チェックなしでそれを基盤となるオペレーティング システム ランタイム経由で直接実行します。
これにより、攻撃者は影響を受けるシステムでリモート コード実行への直接的なパスを取得できます。
「HPE OneView を実行している組織は直ちにパッチを適用し、補償的な管理策が実施されていることを確認する必要があります。CISA の KEV カタログへの CVE-2025-37164 の掲載は緊急性を強調しています。この脆弱性は積極的に悪用されており、現実的なリスクをもたらします」と Check Point は述べました。
2021年1月21日の更新、HPE は Infosecurity に次のステートメントを送信しました:
「HPE は、脆弱性が悪用されているという顧客からの直接的なレポートは受け取っていません。「この脆弱性は、脅威アクターがユーザーのネットワークへのローカル アクセスを持っている場合にのみ悪用でき、当社はお客様が自分のネットワーク環境で最高のセキュリティ慣行を使用していることを確認するよう奨励しています。このホットフィックスは 12/17/25 にリリースされ、拡張バージョンは 1/15/26 にリリースされました。」
翻訳元: https://www.infosecurity-magazine.com/news/rondodox-botnet-targets-hpe/
