Check Point регистрира над 40 000 опита за атака само за четири часа, насочени основно към правителствени организации, финансови институции и индустриални производители. Причината е активната експлоатация на критичната уязвимост CVE‑2025‑37164 в HPE OneView – централизирана платформа за управление на сървъри, сторидж и мрежи.
Съдържание на статията
Какво представлява уязвимостта
Слабостта е с максимална тежест (CVSS 10) и позволява отдалечено изпълнение на код върху системи, които често имат високи привилегии в корпоративната инфраструктура. Още при разкриването ѝ през декември експертите предупредиха, че OneView е „команден център“ в много среди и компрометиране на платформата може да доведе до сериозни последствия.
Масови атаки, свързани с ботнета RondoDox
Check Point вече наблюдава масово автоматизирано сканиране и експлоатация, което приписва на ботнета RondoDox – Linux‑базирана мрежа, която използва публично известни уязвимости в рутери, DVR устройства, уеб сървъри и други системи. Подходът е „shotgun“ стил – масово изстрелване на експлойти с цел бързо разширяване на ботнет инфраструктурата за DDoS атаки, копаене на криптовалута и разпространение на вторични товари.
- На 7 януари е отчетен рязък скок в активността – същия ден уязвимостта е добавена в списъка на CISA за активно експлоатирани слабости.
- Между 05:45 и 09:20 UTC са регистрирани над 40 000 опита за атака.
- Повечето заявки идват от един IP адрес в Нидерландия, вече познат на анализаторите на заплахи.
Кои държави са засегнати
Атаките са глобални, като най-силно засегнати са:
- САЩ
- Австралия
- Франция
- Германия
- Австрия
Основните цели са правителствени структури, финансови услуги и индустриални производители – сектори, в които OneView често управлява критична инфраструктура.
Реакцията на HPE
Компанията все още не е дала нов коментар, но по-рано през този месец е уведомила The Register, че потребителите трябва незабавно да приложат наличния пач, въпреки че към онзи момент не са били докладвани реални атаки.
Какъв е изводът
Управляващите платформи като OneView не могат да бъдат оставяни с дълги цикли на обновяване. Те са високоприоритетни цели и атакуващите реагират бързо – често в рамките на дни след публикуване на уязвимостта.
