RondoDox botnet masovno napada kritičnu ranjivost u HPE OneViewu

Istraživači kompanije Check Point upozoravaju na snažnu i koordiniranu kampanju cyber napada koja koristi kritičnu ranjivost u HPE OneViewu, alatu za upravljanje IT infrastrukturom. Napade provodi poznati RondoDox botnet, a obim aktivnosti u samo nekoliko sati dostigao je desetine hiljada pokušaja kompromitacije sistema.

Od objave ranjivosti do masovnih napada

Sve je počelo sredinom decembra, kada je Hewlett Packard Enterprise (HPE) 16. decembra 2025. objavio sigurnosno upozorenje o ranjivosti CVE-2025-37164. Riječ je o propustu s najvišom CVE ocjenom, koji napadačima omogućava daljinsko izvršavanje koda bez autorizacije, što ga čini izuzetno opasnim za pogođene sisteme.

Check Point je reagovao brzo i već 21. decembra aktivirao hitne zaštitne mehanizme kroz svoj Quantum Intrusion Prevention System. Iste noći zabilježeni su i prvi pokušaji zloupotrebe. U početku su napadi ličili na ograničene testove, ali se situacija ubrzo dramatično promijenila.

Više od 40.000 pokušaja u nekoliko sati

Pravi talas napada zabilježen je 7. januara 2026. godine. U periodu između 05:45 i 09:20 (UTC), Check Point Research je registrovao više od 40.000 pokušaja napada. Analiza saobraćaja jasno ukazuje na automatizovanu kampanju, tipičnu za botnete.

Na osnovu karakterističnog “user-agent” zapisa i komandi koje su izvršavane, istraživači su aktivnost pripisali RondoDox botnetu. Ovaj botnet je poznat po napadima na IoT uređaje i web servere, a koristi se za DDoS napade i rudarenje kriptovaluta. Prvi put je javno identifikovan sredinom 2025. godine, a već je dovođen u vezu s eksploatacijom drugih ozbiljnih propusta, uključujući ranjivost poznatu kao React2Shell.

Kako funkcioniše napad

Ranjivost CVE-2025-37164 nalazi se u executeCommand REST API endpointu, dijelu funkcionalnosti za upravljanje identitetima (id-pools). Problem je u tome što endpoint prihvata ulazne podatke bez provjere identiteta ili ovlaštenja, a zatim ih direktno izvršava na operativnom sistemu. Takav dizajn omogućava napadačima da preuzmu kontrolu nad pogođenim sistemima uz minimalan napor.

Jedna IP adresa u fokusu, ali globalne posljedice

Većina zabilježenih napada dolazila je s jedne IP adrese iz Nizozemske, koja je i ranije bila spominjana u sigurnosnim izvještajima. Check Point potvrđuje da je riječ o vrlo aktivnom malicioznom akteru. Ipak, posljedice kampanje su globalne.

Najviše napada zabilježeno je u Sjedinjenim Američkim Državama, dok slijede Australija, Francuska, Njemačka i Austrija. Po sektorima, najčešće su bili pogođeni državni organi, zatim finansijske institucije i industrijska proizvodnja.

Check Point je o kampanji obavijestio CISA-u 7. januara, a istog dana ranjivost je dodana u američki Known Exploited Vulnerabilities (KEV) katalog, što je jasan signal o ozbiljnosti prijetnje.

Reakcija HPE-a

Iz HPE-a poručuju da zasad nisu zaprimili direktne prijave korisnika o zloupotrebi ranjivosti. U saopćenju navode da se propust može iskoristiti samo ako napadač već ima pristup lokalnoj mreži, te pozivaju korisnike da primjenjuju najbolje sigurnosne prakse.

HPE je 17. decembra 2025. objavio hitnu zakrpu, dok je 15. januara 2026. izdata dodatno unaprijeđena verzija koja bi trebala dodatno umanjiti rizik.

Zaključak

Slučaj HPE OneViewa još jednom pokazuje koliko brzo objava kritične ranjivosti može dovesti do masovne zloupotrebe. Automatizovani botneti poput RondoDoxa danas reagiraju u satima, a ne danima. Za organizacije koje koriste ovakve alate, pravovremeno ažuriranje i aktivan nadzor sigurnosnih sistema više nisu preporuka – već nužnost.