Check Point warnt und ruft zum sofortigen Patchen auf

Eine laufende Exploit-Kampagne nutzt die Sicherheitslücke CVE-2025-37164 in HPE OneView aus und ermöglicht Angreifern die Remote-Code-Ausführung. Check Point ordnet die Angriffe dem Linux-basierten Botnetz RondoDox zu. Check Point Research hat eine aktive und koordinierte Angriffskampagne identifiziert, die gezielt eine kritische Schwachstelle in HPE OneView ausnutzt. Die Sicherheitslücke mit der Kennung CVE-2025-37164 erlaubt es Angreifern, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen.

Laut den Telemetriedaten von Check Point handelt es sich um eine gezielte und automatisierte Kampagne, die dem RondoDox-Botnetz zugeordnet werden kann. Besonders alarmierend: Die Angriffe haben sich innerhalb kurzer Zeit von vereinzelten Tests zu großflächigen, massenhaften Exploit-Versuchen entwickelt. Zehntausende Angriffe bereits blockiert

Check Point Research hat bislang Zehntausende Exploit-Versuche abgewehrt, die im Rahmen dieser Kampagne stattfanden. Das verdeutlicht sowohl die Schwere der Schwachstelle als auch die akute Gefahr für ungepatchte Systeme.

Bereits am 7. Januar 2026 meldete CPR die aktive Ausnutzung an die US-Behörde CISA. Noch am selben Tag wurde CVE-2025-37164 in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen – ein klares Signal für die Dringlichkeit der Lage.

Überblick zur Sicherheitslücke

HPE OneView ist eine weit verbreitete Plattform zur Verwaltung von Rechen-, Speicher- und Netzwerkressourcen in Unternehmensumgebungen. Am 16. Dezember 2025 veröffentlichte Hewlett Packard Enterprise (HPE) eine Sicherheitswarnung zu CVE-2025-37164, einer kritischen Schwachstelle, die Remote-Code-Ausführung ohne Authentifizierung ermöglicht. Konkret akzeptiert ein betroffener Endpunkt vom Angreifer übermittelte Eingaben ohne jegliche Authentifizierungs- oder Autorisierungsprüfung. Diese Eingaben werden anschließend direkt über die zugrunde liegende Betriebssystemumgebung ausgeführt. Für Angreifer entsteht dadurch ein direkter und besonders gefährlicher Einstiegspunkt in das System.

Massive Eskalation: Aktiver Missbrauch in großem Stil

Am 7. Januar 2026 beobachtete Check Point Research eine deutliche Eskalation der Angriffe. Innerhalb von nur knapp vier Stunden – zwischen 05:45 und 09:20 UTC – wurden mehr als 40.000 Exploit-Versuche registriert.

Die Analyse zeigt, dass es sich um automatisierte, botnet-gesteuerte Angriffe handelte. Hinweise wie eine charakteristische User-Agent-Zeichenfolge sowie Befehle zum Nachladen von Schadsoftware führten zur eindeutigen Zuordnung zum RondoDox-Botnetz. RondoDox ist ein vergleichsweise neues, Linux-basiertes Botnetz, das gezielt IoT-Geräte, Webserver sowie Edge- und Perimeter-Systeme angreift. Es wird unter anderem für DDoS-Angriffe und Krypto-Mining eingesetzt. Bereits in der Vergangenheit nutzte RondoDox bekannte Schwachstellen aus, darunter React2Shell (CVE-2025-55182) im Dezember 2025. Die Ausnutzung von CVE-2025-37164 folgt exakt diesem Muster.

Herkunft und Ziel der Angriffe

Ein Großteil der Angriffe ging von einer einzelnen IP-Adresse aus den Niederlanden aus, die bereits mehrfach als verdächtig gemeldet wurde. Check Point bestätigt die außergewöhnlich hohe Aktivität dieser Quelle. Betroffen waren Unternehmen aus unterschiedlichsten Branchen. Besonders häufig richteten sich die Angriffe gegen Regierungsorganisationen, gefolgt von Finanzdienstleistern und Industrieunternehmen. Geografisch wurden die meisten Angriffe in den USA registriert, danach folgen Australien, Frankreich, Deutschland und Österreich.

Was Unternehmen jetzt tun sollten

Die Geschwindigkeit, mit der die Schwachstelle nach ihrer Offenlegung aktiv ausgenutzt wurde, lässt keinen Spielraum für Verzögerungen. Unternehmen, die HPE OneView einsetzen, sollten unverzüglich die bereitgestellten Patches installieren und zusätzlich prüfen, ob geeignete Ausgleichs- und Schutzmaßnahmen aktiv sind. Die Aufnahme von CVE-2025-37164 in den KEV-Katalog der CISA macht deutlich: Diese Schwachstelle wird nachweislich aktiv ausgenutzt und stellt ein unmittelbares Risiko für betroffene Umgebungen dar.