Cyberaanvallen op HPE OneView systemen door RondoDox-botnet

De kwetsbaarheid, die een score van 9.8 (Critical) heeft gekregen, stelt aanvallers in staat om zonder authenticatie op afstand code uit te voeren (RCE) via een onbeveiligde API-koppeling. De Amerikaanse overheidsdienst CISA heeft het lek direct toegevoegd aan de lijst met Known Exploited Vulnerabilities, wat betekent dat organisaties wettelijk of dringend geadviseerd worden om direct te patchen.

Tienduizenden aanvallen vanuit Nederland

Opvallend is dat de meeste aanvalsactiviteit volgens Check Point afkomstig is van één enkel Nederlands IP-adres. Dit adres wordt gekoppeld aan het opkomende RondoDox-botnet, een Linux-gebaseerd netwerk dat gespecialiseerd is in het overnemen van IoT-apparaten en servers voor DDoS-aanvallen en cryptomining.

In een tijdsbestek van slechts enkele uren registreerde Check Point meer dan 40.000 aanvalspogingen. De aanvallers richten zich wereldwijd op diverse sectoren, waarbij de focus met name ligt op overheidsinstellingen, de financiële sector en de maakindustrie.

Risico voor de kern van de IT-infrastructuur

HPE OneView wordt door veel organisaties gebruikt om hun volledige stack aan servers, opslag en netwerken te automatiseren. "Deze kwetsbaarheid biedt aanvallers een directe weg naar het hart van de infrastructuur," waarschuwt Check Point. Het lek bevindt zich in de executeCommand-functie van de API, die invoer van buitenaf direct uitvoert op het onderliggende besturingssysteem.

Wat moeten organisaties doen?

Beheerders die gebruikmaken van HPE OneView wordt dringend geadviseerd de volgende stappen te ondernemen:

• Onmiddellijk patchen: Installeer de beveiligingsupdates die HPE op 16 december 2025 beschikbaar heeft gesteld.
• Netwerksegmentatie: Zorg dat beheerinterfaces zoals OneView niet direct vanaf het openbare internet toegankelijk zijn.
• Monitoring: Controleer logs op ongebruikelijke verzoeken aan het id-pools API-eindpunt.