In der HPE OneView-Software gibt es die inzwischen gepatchte RCE-Schwachstelle CVE-2025-37164.
Check Point Research hat eine aktive und koordinierte Exploit-Kampagne identifiziert, die auf diese kritische Sicherheitslücke in HPE OneView abzielt. Es sollte dringend gepatcht werden.
HPE OneView-Software Schwachstelle CVE-2025-37164
HPE OneView ist eine IT-Infrastrukturmanagement-Plattform, die die Verwaltung von Rechen-, Speicher- und Netzwerkressourcen automatisiert und von Unternehmen in verschiedenen Branchen weit verbreitet ist.
In der Hewlett Packard Enterprise OneView-Software wurde im Dezember 2025 die Schwachstelle CVE-2025-37164, die eine Ausführung von Remote-Code durch nicht authentifizierter Benutzer ermöglicht, identifiziert. Die Schwachstelle wurde mit einem CVSS Base Score von 10.0 als kritisch eingestuft.
Problem ist, dass der Endpunkt die vom Angreifer bereitgestellten Eingaben ohne Authentifizierungs- oder Autorisierungsprüfungen akzeptiert. Der Endpunkt führt die Eingaben dann ebenfalls ohne Prüfung direkt über die zugrunde liegende Betriebssystem-Laufzeitumgebung aus. Das bietet Angreifern einen direkten Weg zur Remote-Codeausführung auf betroffenen Systemen.
Ich hatte das kurz im Dezember 2025 im Beitrag Sicherheit: Ransomware bei Autohaus; kommunale Datenträger im Heizungskeller und mehr erwähnt. Rapid7 hatte zum 18. Dezember 2025 diesen Beitrag mit Details veröffentlicht. Von HPE gibt es den zum 17. Dezember 2025 veröffentlichten Sicherheitshinweis HPESBGN04985 rev.3 – Hewlett Packard Enterprise OneView Software, Remote Code Execution. Betroffen sind alle HPE OneView-Versionen bis v10.20. Es gibt ein Update zum Schließen der Schwachstelle.
Angriffe auf RCE-Schwachstelle CVE-2025-37164
Sicherheitsanbieter CheckPoint warnt nun vor der RCE-Schwachstelle CVE-2025-37164 weil er über seine Telemetriedaten eine aktive und koordinierte Exploit-Kampagne auf die kritische Sicherheitslücke CVE-2025-37164 in HPE OneView identifiziert hat.
Check Point ordnet die Aktivitäten dem RondoDox-Botnetz zu und schreibt, dass die Kampagne eine deutliche Eskalation, von frühen Sondierungsoperationen zu groß angelegten, automatisierten Angriffen, darstellt.
Am 7. Januar 2026 beobachtete Check Point Research eine dramatische Eskalation. Zwischen 05:45 und 09:20 UTC wurden mehr als 40.000 Angriffsversuche registriert, die die CVE-2025-37164 ausnutzten. Die Analyse zeigt, dass es sich bei diesen Versuchen um automatisierte, botnet-gesteuerte Angriffe handelte. Basierend auf einer eindeutigen User-Agent-Zeichenfolge und den beobachteten Befehlen, darunter auch solche, die zum Herunterladen der RondoDox-Malware von Remote-Hosts dienen, werden diese Aktivitäten dem RondoDox-Botnet zugeordnet.
RondoDox ist ein neuartiges Linux-basiertes Botnetz, das auf mit dem Internet verbundene IoT-Geräte und Webserver abzielt und in erster Linie verteilte DDoS-Angriffe durchführt und Kryptowährungen schürft. Check Point hat RondoDox, das Mitte 2025 erstmals öffentlich identifiziert wurde, dabei beobachtet, wie es aktiv bekannte Schwachstellen ausnutzt, darunter React2Shell CVE-2025-55182 vom Dezember. Der Schwerpunkt der Angriffe liegt auf nicht gepatchten Edge- und Perimeter-Infrastrukturen.
Der Großteil der beobachteten Aktivitäten stammte von einer einzigen niederländischen IP-Adresse, die online bereits vielfach als verdächtig gemeldet wurde. Unternehmen, die HPE OneView einsetzen, sollten umgehend Patches installieren. Details lassen sich bei CheckPoint in diesem Blog-Beitrag nachlesen.
MVP: 2013 – 2016
