Check Point Research (CPR), die Sicherheitsforschungs-abteilung von Check Point Software Technologies, hat eine aktive und koordinierte Exploit-Kampagne identifiziert, die auf eine kritische Sicherheitslücke in HPE-Oneview abzielt: CVE-2025-37164 ermöglicht die Ausführung von Remote-Code. Check Point hat derartige Aktivitäten in seiner Telemetrie beobachtet und dem Rondodox-Botnetz zugeschrieben. Die Kampagne stellt eine deutliche Eskalation dar: von frühen Sondierungsoperationen zu groß angelegten, automatisierten Angriffen.
Check Point Research hat bereits Zehntausende Exploit-Versuche blockiert, die von der Kampagne ausgingen. Das unterstreicht sowohl die Schwere der Sicherheitslücke als auch die Dringlichkeit für Unternehmen, Maßnahmen zu ergreifen. CPR meldete die Kampagne am 7. Januar 2026 an CISA und die Sicherheitslücke wurde noch am selben Tag in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen.
Übersicht der Sicherheitslücke in HPE-Oneview
HPE-Oneview ist eine IT-Infrastrukturmanagement-Plattform, die die Verwaltung von Rechen-, Speicher- und Netzwerkressourcen automatisiert und von Unternehmen in verschiedenen Branchen weit verbreitet ist. Am 16. Dezember 2025 veröffentlichte Hewlett Packard Enterprise (HPE) eine Sicherheitsempfehlung für CVE-2025-37164, eine kritische Sicherheitslücke in HPE OneView, die die Ausführung von Remote-Code ermöglicht.
Dabei akzeptiert der Endpunkt die vom Angreifer bereitgestellten Eingaben ohne Authentifizierungs- oder Autorisierungsprüfungen. Er führt sie dann direkt über die zugrunde liegende Betriebssystem-Laufzeitumgebung aus, ebenfalls ohne besagte Prüfungsmechanismen. Das bietet Angreifern einen direkten Weg zur Remote-Codeausführung auf betroffenen Systemen.
Groß angelegter aktiver Missbrauch beobachtet
Am 7. Januar 2026 beobachtete Check Point Research eine dramatische Eskalation. Zwischen 05:45 und 09:20 UTC wurden mehr als 40.000 Angriffsversuche registriert, die die CVE-2025-37164 ausnutzten. Die Analyse zeigt, dass es sich bei diesen Versuchen um automatisierte, botnet-gesteuerte Angriffe handelte. Basierend auf einer eindeutigen User-Agent-Zeichenfolge und den beobachteten Befehlen, darunter auch solche, die zum Herunterladen der Rondodox-Malware von Remote-Hosts dienen, werden diese Aktivitäten dem Rondodox-Botnet zugeordnet.
Rondodox ist ein neuartiges Linux-basiertes Botnetz, das auf mit dem Internet verbundene IoT-Geräte und Webserver abzielt und in erster Linie verteilte DDoS-Angriffe durchführt und Kryptowährungen schürft. Check Point hat RondoDox, das Mitte 2025 erstmals öffentlich identifiziert wurde, dabei beobachtet, wie es aktiv bekannte Schwachstellen ausnutzt, darunter React2Shell CVE-2025-55182 vom Dezember. Der Schwerpunkt der Angriffe liegt auf nicht gepatchten Edge- und Perimeter-Infrastrukturen. Der Missbrauch von CVE-2025-37164 entspricht genau diesem Muster.
Herkunft und Ziele der Angriffe
Der Großteil der beobachteten Aktivitäten stammte von einer einzigen niederländischen IP-Adresse, die online bereits vielfach als verdächtig gemeldet wurde. Check Point bestätigt, die hohe Aktivität der Angreifer. Die Kampagne betraf Unternehmen aus verschiedenen Branchen, wobei die meisten Aktivitäten gegen Regierungsorganisationen gerichtet waren, gefolgt von Finanzdienstleistern und Industrieunternehmen. Die meisten, der weltweit verteilten Angriffe wurden in den Vereinigten Staaten verzeichnet, gefolgt von Australien, Frankreich, Deutschland und Österreich.
Was Unternehmen jetzt tun sollten
Der rasche Übergang von der Offenlegung zur massenhaften Ausnutzung lässt wenig Raum für Verzögerungen: Unternehmen, die HPE OneView einsetzen, sollten deswegen umgehend Patches installieren und sicherstellen, dass Ausgleichskontrollen vorhanden sind. Die Aufnahme von CVE-2025-37164 in den KEV-Katalog der CISA unterstreicht die Dringlichkeit. Die Schwachstelle wird aktiv ausgenutzt und stellt ein unmittelbares Risiko dar.
Info: Weitere technische Details und die vollständige Analyse finden sich im Blogbeitrag von Check Point Research: https://blog.checkpoint.com/research/patch-now-active-exploitation-underway-for-critical-hpe-oneview-vulnerability/
#Check-Point
