Thought Leadership
Sicherheitsforscher haben eine Angriffskampagne auf eine kritische Schwachstelle in HPE OneView aufgedeckt. Die Lücke wird bereits aktiv vom RondoDox-Botnetz ausgenutzt und ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen.
Von der Sondierung zum Massenangriff
HPE hatte am 16. Dezember 2025 einen Sicherheitshinweis zu der Schwachstelle CVE-2025-37164 veröffentlicht. Doch bereits am 7. Januar 2026 eskalierte die Situation dramatisch: Zwischen 05:45 und 09:20 UTC registrierte der Security-Anbieter Check Point nach eigenen Angaben über 40.000 automatisierte Angriffsversuche. Nach Analyse der Telemetriedaten ordnet CPR die Attacken dem RondoDox-Botnetz zu. Zu erkennen war dies an einer charakteristischen User-Agent-Zeichenfolge und Befehlen zum Download der RondoDox-Malware.
Check Point meldete die Kampagne noch am selben Tag an die US-Behörde CISA, die die Schwachstelle umgehend in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufnahm.
Was ist HPE OneView und wer ist betroffen?
HPE OneView ist eine weit verbreitete Management-Plattform für IT-Infrastrukturen, die Rechen-, Speicher- und Netzwerkressourcen automatisiert verwaltet. Die Schwachstelle liegt in einem Endpunkt, der Benutzereingaben ohne jegliche Authentifizierungs- oder Autorisierungsprüfung entgegennimmt und direkt über die Betriebssystem-Laufzeitumgebung ausführt.
Der Großteil der beobachteten Angriffe stammte von einer einzelnen IP-Adresse in den Niederlanden, die bereits mehrfach als verdächtig gemeldet wurde. Besonders im Visier: Regierungsorganisationen, gefolgt von Finanzdienstleistern und Industrieunternehmen. Geografisch konzentrierten sich die Attacken auf die USA, Australien, Frankreich, Deutschland und Österreich.
RondoDox nimmt Edge-Infrastrukturen ins Visier
Bei RondoDox handelt es sich um ein Linux-basiertes Botnetz, das seit Mitte 2025 bekannt ist und primär IoT-Geräte sowie Webserver attackiert. Die Malware wird für DDoS-Angriffe und Krypto-Mining eingesetzt. Charakteristisch ist die systematische Ausnutzung bekannter Schwachstellen in ungepatchten Edge- und Perimeter-Systemen, zuletzt etwa die React2Shell-Lücke CVE-2025-55182 im Dezember.
Dringender Handlungsbedarf
Der rasante Übergang von der Veröffentlichung des Sicherheitshinweises zur massenhaften Ausnutzung lässt Unternehmen kaum Reaktionszeit. Check Point appelliert eindringlich an alle HPE-OneView-Nutzer, umgehend die verfügbaren Patches zu installieren und zusätzliche Schutzmaßnahmen zu implementieren.
Check Point selbst hatte bereits am 21. Dezember einen Notfallschutz über sein Quantum Intrusion Prevention System (IPS) bereitgestellt und erste Exploit-Versuche noch am selben Abend blockiert. Die IPS-Signaturen werden automatisch aktualisiert und schützen Kunden in der kritischen Phase zwischen Bekanntwerden und Patch-Deployment.
(lb/Check Point)
