RondoDox botnet exploiteert massaal HPE OneView-lek

vrijdag, 16 januari 2026 (14:55) - Techzine

In dit artikel:

Check Point Research ontdekte een grootschalige, gecoördineerde aanvalscampagne die misbruikmaakt van CVE-2025-37164, een kritieke remote code execution-kwetsbaarheid in HPE OneView. Hewlett Packard Enterprise publiceerde het beveiligingsadvies op 16 december 2025; de fout kreeg de hoogste CVSS-score omdat ongeauthenticeerde aanvallers via een REST-endpoint direct code kunnen uitvoeren.

Check Point schakelde op 21 december al een noodbescherming in via zijn Quantum Intrusion Prevention System en zag diezelfde avond de eerste exploitpogingen. Wat begon als proof-of-concept tests escaleerde binnen weken naar geautomatiseerde, botnetgedreven aanvallen. Alleen al op 7 januari 2026 registreerden zij tussen 05:45 en 09:20 UTC meer dan 40.000 pogingen.

De onderzoekers koppelen de campagne aan het RondoDox-botnet; die toewijzing is gebaseerd op een kenmerkende user-agent-string en de commando’s die werden gebruikt. RondoDox, medio 2025 voor het eerst gesignaleerd, richt zich vooral op IoT-apparaten en webservers en zet geïnfecteerde systemen in voor DDoS-aanvallen en cryptocurrency-mining. Eerder misbruikte het botnet ook andere high-profile kwetsbaarheden, zoals React2Shell (CVE-2025-55182).

Technisch zit het probleem in het executeCommand REST API-endpoint van de id-pools functionaliteit van OneView: het endpoint accepteert door een aanvaller aangeleverde input zonder authenticatie- of autorisatiechecks en voert die uit in de onderliggende runtime. Check Point meldt dat ze tienduizenden exploitatiepogingen hebben geblokkeerd.

De grootste bron van het verkeer kwam van één Nederlands IP-adres dat al in meerdere meldingen als verdacht staat vermeld. Doelwitten waren organisaties in diverse sectoren; overheden werden het vaakst aangevallen, gevolgd door financiële instellingen en industriële productie. Wereldwijd werd het meeste verkeer naar systemen in de Verenigde Staten waargenomen; ook Australië, Frankrijk, Duitsland en Oostenrijk waren prominent aanwezig.

Check Point rapporteerde de campagne op 7 januari aan CISA; diezelfde dag werd CVE-2025-37164 opgenomen in de Known Exploited Vulnerabilities-catalogus. Voor organisaties met HPE OneView is snelle patching of het toepassen van compensating controls dringend aanbevolen: beperk toegang tot managementinterfaces, monitor logs op verdachte user-agents/aanroepen en zet intrusion-preventionregels in zolang systemen niet zijn geüpdatet.