- 重大なHPE OneViewのRCE欠陥(CVE-2025-37164)、パッチ公開後も悪用
- ボットネット主導の攻撃を4万件超観測、主にRondoDoxが重要セクターを標的
- CPRとCISAが、深刻度の高い悪用が進行中として即時パッチ適用を要請
HPE OneViewにおける重大な脆弱性の悪用が「劇的にエスカレート」していると、専門家が警告している。
HPE OneViewは、ソフトウェア定義テンプレートを用いてプロビジョニングとライフサイクル管理を自動化する、統合ITインフラ管理プラットフォームだ。
サイバーセキュリティ専門家のCheck Point Research(CPR)は、2025年12月中旬に、脅威アクターが基盤となるオペレーティングシステム上でマルウェアを実行できるリモートコード実行(RCE)脆弱性を発見したことを受け、利用者全員に対し、提供されているパッチを直ちに適用するよう強く求めている。
現実世界でのリスク
このバグは現在CVE-2025-37164として追跡され、深刻度スコアは9.8/10(クリティカル)と評価された。
2025年12月21日、HPEはパッチを公開し、その夜のうちに最初の悪用の試みが確認された。当初の試みは、サイバー犯罪者がこのバグが本当に悪用可能か、どのように、どの程度まで可能かを探るための、プロービングと偵察に過ぎなかった。
数週間後の1月7日から、CPRの研究者は「劇的なエスカレーション」を観測し、4時間足らずで4万件を超える攻撃の試行を記録した。これらの試行は自動化され、ボットネットによって駆動されており、RondoDoxボットネットによるものとされる。
これは比較的新しいLinuxベースのボットネットで、一般的な活動を一通り行う――分散型サービス拒否(DDoS)攻撃の実行や暗号資産マイニングなどだ。
CPRによれば、活動の大半はオランダにある単一のIPアドレスから発生しており、そのIPアドレスは「疑わしいものとして広く報告されている」と強調した。RondoDoxは主に政府機関を標的とするが、金融サービス企業や産業製造分野の組織も狙う。被害者の大半は米国に所在し、次いでオーストラリア、フランス、ドイツ、オーストリアが続く。
総合すると、CPRは企業に対しパッチ適用を急ぐべきだとしている。「HPE OneViewを運用している組織は直ちにパッチを適用し、代替的な統制(補完的コントロール)が整備されていることを確認すべきだ」と、同社はセキュリティ勧告で述べた。
一方で、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、この脆弱性を既知の悪用されている脆弱性(KEV)のカタログに追加しており、CPRはこれが「緊急性をさらに強める」と強調した。
「この脆弱性は現在悪用されており、現実世界でのリスクをもたらしている。」
翻訳元: https://www.techradar.com/pro/security/new-botnet-targets-hpe-oneview-vulnerability-so-patch-now
