重大なHPE OneViewの欠陥が現在、大規模に悪用されており、Check Pointは大量の自動化攻撃をRondoDoxボットネットに結び付けています。
同社のセキュリティ企業によると、HPEのデータセンター管理プラットフォームに存在する最大深刻度のリモートコード実行(RCE)バグであるCVE-2025-37164の「大規模な悪用」を特定したとのことです。Check Pointはこの活動をRondoDoxに関連付けています。RondoDoxはLinuxベースのボットネットで、ルーター、DVR、Webサーバー、その他のデバイスにまたがる公知の脆弱性を武器化し、「エクスプロイト・ショットガン」アプローチでDDoS、暗号資産マイニング、二次ペイロード配信のための広範なボットネット網を構築します。
HPEがこのバグを12月中旬に初めて公表した際、その修正は、CVSS深刻度スコアが満点の10であること、そしてOneViewがサーバー、ストレージ、ネットワークを中央から制御する――つまり多くの企業環境の内部にある高権限の司令塔に相当する――ことから、緊急性をもって受け止められました。
その段階で最大の不明点は、悪意ある者たちが概念実証(PoC)の悪用を超えて、本格的なキャンペーンへ移行しているかどうかでした。いまやその不確実性は消え、Check Pointのテレメトリによれば、数万件に及ぶエクスプロイト試行が観測されており、自動化スキャナーが脆弱なシステムを一斉に狙っています。
同社は、1月7日にエクスプロイト活動が「劇的にエスカレート」したのを観測したと述べています。この日は当該欠陥がCISAの「現在悪用されている脆弱性」リストに追加された日でもあります。
「05:45から09:20(UTC)の間に、CVE-2025-37164を悪用する攻撃試行を4万件以上記録しました」と、Check Pointは木曜日のブログ投稿で述べました。「分析の結果、これらの試行は自動化され、ボットネット主導の悪用であることが示されています。
「特徴的なユーザーエージェント文字列と観測されたコマンド(リモートホストからRondoDoxマルウェアをダウンロードするよう設計されたものを含む)に基づき、この活動をRondoDoxボットネットによるものと判断しています。」
Check Pointによれば、活動の大半は単一のオランダのIPアドレスから発生しており、脅威インテリジェンス界隈ではすでによく知られていることから、特に活発なオペレーターの存在が示唆されるといいます。
さらに、攻撃は世界規模で行われており、件数が最も多かったのは米国で、次いでオーストラリア、フランス、ドイツ、オーストリアが続いたと付け加えました。また、主に政府機関を標的として活動が集中しており、金融サービスや産業系製造業も狙われていました。
HPEは金曜日時点でThe Registerからの質問にまだ回答していませんが、今月初めには、顧客から当該脆弱性が悪用されているとの報告は受けていないとしつつも、「OneViewユーザーは可能な限り早くパッチを適用することが重要です」と述べていました。
今回のOneViewをめぐる一連の騒動から得られる教訓があるとすれば、管理プラットフォームを長いパッチサイクルのまま放置して朽ちさせておくことは、もはやできないということです――敵対者は間違いなく待ってはくれません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/16/rondodox_botnet_hpe_oneview/
