Критическая уязвимость в HPE OneView эксплуатируется в промышленных масштабах: компания Check Point связывает массовые автоматизированные атаки с ботнетом RondoDox.
Специалисты по безопасности заявили, что зафиксировали «крупномасштабную эксплуатацию» CVE-2025-37164 — бага с удалённым выполнением кода максимальной степени критичности в платформе управления центрами обработки данных от HPE. Check Point увязывает эту активность с RondoDox — ботнетом на базе Linux, который использует общеизвестные уязвимости в маршрутизаторах, DVR, веб-серверах и других устройствах, применяя подход «дробовика эксплойтов» для построения обширных сетей ботнетов, предназначенных для DDoS-атак, майнинга криптовалют и доставки вторичных вредоносных полезных нагрузок.
Когда HPE впервые раскрыла информацию об этой уязвимости в середине декабря, выпуск исправления был воспринят с особой срочностью из-за максимального балла CVSS 10 и того факта, что OneView централизованно управляет серверами, системами хранения данных и сетевым оборудованием — по сути, являясь командным центром с высокими привилегиями во многих корпоративных средах.
На том этапе оставался главный вопрос: перейдут ли злоумышленники от эксплуатации в режиме Proof-of-Concept к полномасштабным кампаниям. Теперь эта неопределённость развеяна: телеметрия Check Point показывает десятки тысяч попыток эксплуатации, при этом автоматизированные сканеры массово атакуют уязвимые системы.
Компания заявляет, что наблюдала «резкую эскалацию» активности по использованию уязвимости 7 января — в тот же день, когда этот дефект был добавлен в список CISA активно эксплуатируемых уязвимостей.
«В период с 05:45 до 09:20 UTC мы зафиксировали более 40 000 попыток атак, использующих CVE-2025-37164», — сообщила Check Point в своём блоге в четверг. «Анализ показывает, что эти попытки были автоматизированными и исходили от ботнета».
«Мы связываем эту активность с ботнетом RondoDox на основании характерной строки User Agent и наблюдаемых команд, включая те, что предназначены для загрузки вредоносного ПО RondoDox с удалённых хостов».
Check Point отмечает, что большая часть активности исходила от одного нидерландского IP-адреса, хорошо известного в кругах аналитиков угроз, что указывает на особенно активного оператора.
Атаки носили глобальный характер: наибольший объём зафиксирован в США, за которыми следуют Австралия, Франция, Германия и Австрия. Основной целью атак были государственные организации, а также структуры финансового сектора и промышленные производители.
HPE пока не ответила на запросы *The Register* в пятницу, но ранее в этом месяце компания заявляла, что, хотя и не получала сообщений от клиентов об эксплуатации уязвимости, «важно, чтобы пользователи OneView применили исправление как можно скорее».
Главный урок из последней драмы вокруг OneView таков: платформы управления больше нельзя оставлять без своевременного обновления, поскольку противники ждать не будут. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
