详细内容或原文请订阅后点击阅览
RondoDox 僵尸网络与大规模利用关键 HPE OneView 漏洞有关
Check Point 在 4 小时内观察到超过 4 万次攻击尝试,政府组织受到攻击。一个关键的 HPE OneView 缺陷现已被大规模利用,Check Point 对 RondoDox 僵尸网络进行大规模自动攻击。
来源:The Register _恶意软件HPE OneView 的一个关键缺陷现已被大规模利用,Check Point 将大规模自动攻击与 RondoDox 僵尸网络联系起来。
该安全机构表示,已发现 CVE-2025-37164 被“大规模利用”,这是 HPE 数据中心管理平台中最严重的远程代码执行漏洞。 Check Point 已将该活动与 RondoDox 联系起来,RondoDox 是一个基于 Linux 的僵尸网络,它利用路由器、DVR、Web 服务器和其他设备上的公开已知漏洞进行武器化,使用“漏洞利用霰弹枪”方法构建庞大的僵尸网络,以进行 DDoS、加密挖矿和二次有效负载传输。
当 HPE 在 12 月中旬首次披露该漏洞时,由于其 CVSS 严重性评分达到 10 分,并且 OneView 从一个中心点(本质上是许多企业环境中的高权限指挥中心)控制服务器、存储和网络,因此对其修复进行了紧急处理。
在那个阶段,最大的未知数是不法分子是否正在从概念验证利用转向全面的活动。 Check Point 的遥测显示,现在不确定性已经消失,已经观察到数以万计的利用尝试,自动扫描仪针对的是易受攻击的系统。
该公司表示,它在 1 月 7 日观察到漏洞利用活动“急剧升级”,同一天该漏洞被添加到 CISA 的活跃利用漏洞列表中。
“在 UTC 时间 05:45 到 09:20 之间,我们记录了超过 40,000 次利用 CVE-2025-37164 的攻击尝试,”Check Point 在周四的博客文章中表示。 “分析表明这些尝试是自动化的、僵尸网络驱动的利用。
“我们根据独特的用户代理字符串和观察到的命令(包括旨在从远程主机下载 RondoDox 恶意软件的命令)将此活动归因于 RondoDox 僵尸网络。”
Check Point 表示,大部分活动来自威胁情报界众所周知的一个荷兰 IP 地址,这表明运营商特别活跃。