Udnytter kritisk HPE OneView-sårbarhed i stor stil

En aktiv og koordineret udnyttelseskampagne er blevet identificeret af Check Point Research, hvor det Linux-baserede RondoDox botnet retter skytset mod en kritisk sårbarhed i HPE OneView. 

Det skriver Infosecurity Magazine og The Register.

Den aktuelle berørte sårbarhed, EUVD-2025-203803 / CVE-2025-37164, blev offentliggjort af amerikanske NVD den 16. december 2025. CVSS-score er på 10 og EPSS-scoren er pt. på 84,85 pct. 

HPE har karakteriseret sårbarheden som en Remote Code Execution (RCE)-fejl, der giver angribere mulighed for at udføre vilkårlig kode uden autentificering.

Ifølge Check Point blev der den 7. januar 2026 registreret mere end 40.000 angrebsforsøg på under fire timer (05:45–09:20 UTC). Disse forsøg var fuldt automatiserede og drevet af botnet-infrastruktur. Sårbarheden blev samme dag tilføjet til CISA’s Known Exploited Vulnerabilities (KEV)-katalog med deadline for håndtering den 28. januar.

HPE OneView er en udbredt platform til styring af IT-infrastruktur, herunder compute-, storage- og netværksressourcer. Den kritiske fejl findes i den eksponerede ExecuteCommand REST API endpoint, som er knyttet til id-pools-funktionaliteten.

RondoDox

Problemet er, at endpoint accepterer input uden autentificering eller autorisation. Følgevirkningen af dette er, at input kan eksekveres direkte via operativsystemets runtime. Det betyder, at angribere får en direkte vej til Remote Code Execution på sårbare systemer.

Årsagen til miseren er botnettet RondoDox, der første gang blev identificeret i midten af 2025. Siden har botnettet været aktivt i udnyttelsen af højtprofilerede sårbarheder, herunder React2Shell. Fokus er især på upatchede edge- og perimeter-enheder.