文章总结： CheckPointResearch发现Linux僵尸网络RondoDox正在大规模利用HPEOneView严重漏洞CVE-2025-37164（CVSS10）。该漏洞存在于未授权的ExecuteCommandAPI端点，允许攻击者远程执行代码。检测到数万次攻击尝试，漏洞已被列入CISAKEV目录。建议组织立即修补漏洞并实施补偿控制措施。 综合评分： 93 文章分类： 漏洞分析,威胁情报,漏洞预警

RondoDox 僵尸网络在攻击浪潮中针对 HPE OneView 漏洞

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月17日 11:26 北京

Check Point Research 发现了一场由僵尸网络进行的主动协调利用活动，该攻击目标是影响 HPE OneView 的关键漏洞。

该活动被归因于基于Linux的RondoDox僵尸网络，Check Point警告称，此次活动从早期的探查尝试急剧升级为大规模自动化攻击。

HPE OneView 漏洞，CVE-2025-37164，首次于2025年12月16日发布到国家漏洞数据库（NVD），并被HPE评为CVSS 3.1（严重）10分（严重）。

Check Point于1月15日发布的更新中表示，已阻止数万次利用尝试，凸显了漏洞的严重性以及组织采取行动的紧迫性。

在2025年12月检测到早期利用活动并部署防护措施后，Check Point在2026年1月观察到主动利用的显著增加。

1月7日05：45至09：20 UTC期间，公司记录了超过4万次利用CVE-2025-37164的攻击尝试。

Check Point表示：“分析显示这些尝试是自动化的、由僵尸网络驱动的利用。”

RondoDox 首次公开识别是在2025年年中，Check Point 表示其已观察到其积极利用多项高调漏洞，包括去年12月发布的 React2Shell CVE-2025-55182，特别关注未修补的边缘和边界基础设施。

Check Point Research 当天向 CISA 报告了该活动，该漏洞也在同一天被添加到已知被利用漏洞（KEV）目录中。

HPE OneView 是一款 IT 基础设施管理平台，能够自动化计算、存储和网络资源的管理，广泛被各行各业的组织采用。

关键的 RCE 漏洞存在于与 id-pools 功能绑定的暴露的 ExecuteCommand REST API 端点。

端点接受攻击者提供的输入，无需身份验证或授权检查，并通过底层作系统运行时直接执行，无需身份验证或授权检查。

这为攻击者提供了一条直接路径，能够远程执行受影响的系统代码。

“运行HPE OneView的组织应立即进行补丁，并确保有补偿控制措施。CVE-2025-37164被纳入CISA的KEV目录，进一步强化了紧迫性。该漏洞被积极利用，并构成现实世界风险，“Check Point表示。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《RondoDox 僵尸网络在攻击浪潮中针对 HPE OneView 漏洞》