Check Point Research heeft een gecoördineerde aanvalscampagne geïdentificeerd die zich richt op CVE-2025-37164, een kritieke kwetsbaarheid in HPE OneView. Het RondoDox botnet escaleert daarbij van vroege verkenningen naar grootschalige, geautomatiseerde aanvallen. Check Point blokkeerde al tienduizenden exploitatiepogingen.
De aanvalsgolf kwam snel na de publicatie van de kwetsbaarheid. Op 16 december 2025 publiceerde Hewlett Packard Enterprise een advies over CVE-2025-37164, een kritieke remote code execution-kwetsbaarheid in HPE OneView. De kwetsbaarheid kreeg de hoogste CVE-score en stelt ongeauthenticeerde aanvallers in staat om direct code uit te voeren.
Check Point zette op 21 december al een noodbescherming uit via zijn Quantum Intrusion Prevention System. Diezelfde avond detecteerden ze de eerste exploitatiepogingen. Wat begon als simpele proof-of-concept pogingen, escaleerde echter razendsnel tot iets veel groters.
Dramatische escalatie naar 40.000 aanvallen
Op 7 januari 2026 nam de activiteit explosief toe. Tussen 05:45 en 09:20 UTC registreerde Check Point Research meer dan 40.000 aanvalspogingen. De analyses wijzen op geautomatiseerde, botnet-gedreven exploitatie. Check Point schrijft deze activiteit toe aan het RondoDox botnet, op basis van een onderscheidende user agent string en de geobserveerde commando’s.
Het RondoDox botnet richt zich op IoT-apparaten en webservers en voert gedistribueerde DDoS-aanvallen en cryptocurrency mining uit. Het botnet werd medio 2025 voor het eerst publiekelijk geïdentificeerd. Check Point zag RondoDox actief high-profile kwetsbaarheden exploiteren, waaronder de React2Shell CVE-2025-55182 uit december.
De exploitatie van CVE-2025-37164 sluit daar direct op aan. De kwetsbaarheid zit in het executeCommand REST API-endpoint van de id-pools functionaliteit. Het endpoint accepteert door aanvallers geleverde input zonder authenticatie of autorisatiecontroles en voert deze direct uit via de onderliggende besturingssysteemruntime.
Nederlandse IP-adres centraal in aanvallen
Het merendeel van de geobserveerde activiteit kwam van één Nederlands IP-adres dat online breed is gerapporteerd als verdacht. Check Point bevestigt dat deze threat actor zeer actief is. De campagne trof organisaties in meerdere sectoren. Overheidsorganisaties kregen de meeste aanvallen te verduren, gevolgd door financiële dienstverlening en industriële productie.
Globaal gezien namen de Verenigde Staten het hoogste volume aanvallen voor rekening. Australië, Frankrijk, Duitsland en Oostenrijk volgden. Check Point rapporteerde de campagne op 7 januari aan CISA. Diezelfde dag werd de kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities KEV-catalogus.