Hitachi Vantara potencia el almacenamiento híbrido en Azure
Check Point detecta más de 40.000 ataques automatizados contra HPE OneView y alerta sobre explotación masiva vinculada a la botnet RondoDox.
La ventana entre divulgación y explotación se ha reducido a días. La vulnerabilidad crítica CVE-2025-37164, que afecta a HPE OneView, ya está siendo explotada activamente a escala global.
Check Point Software Technologies confirmó que su equipo de Check Point Research detectó una campaña coordinada vinculada a la botnet RondoDox. Entre las 05:45 y las 09:20 UTC del 7 de enero de 2026, se registraron más de 40.000 intentos de explotación automatizada.
La compañía notificó la actividad a CISA el mismo día, y la vulnerabilidad fue añadida de inmediato al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que confirma su carácter activo y de alto riesgo.
¿Qué es CVE-2025-37164 y por qué es crítica?
El 16 de diciembre de 2025, Hewlett Packard Enterprise publicó un aviso sobre esta vulnerabilidad de ejecución remota de código (RCE) en HPE OneView, su plataforma de gestión de infraestructura TI.
La falla reside en el endpoint REST executeCommand, vinculado a la funcionalidad id-pools. Según el aviso técnico, el endpoint acepta entradas sin autenticación ni autorización adecuadas y ejecuta comandos directamente en el sistema operativo subyacente.
El resultado es directo: un atacante puede ejecutar código remoto sin credenciales válidas.
De pruebas aisladas a explotación masiva
Check Point desplegó protecciones IPS de emergencia el 21 de diciembre, apenas días después del aviso. Esa misma noche comenzaron los primeros intentos de prueba de concepto.
Pero el 7 de enero la situación cambió. El volumen y la automatización de los ataques evidencian el uso de infraestructura botnet. La atribución a RondoDox se basa en cadenas de agente de usuario distintivas y comandos diseñados para descargar malware desde hosts remotos.
RondoDox, identificada públicamente a mediados de 2025, es una botnet basada en Linux orientada a ataques DDoS y minería de criptomonedas. En los últimos meses ha explotado vulnerabilidades de alto perfil en infraestructura perimetral sin parchear.
La explotación de CVE-2025-37164 encaja con ese patrón: sistemas expuestos, sin parche y con acceso directo a ejecución remota.
Sectores y geografías impactadas
La telemetría indica que la mayor parte del tráfico malicioso se originó desde una IP en Países Bajos previamente reportada como sospechosa.
Los sectores más afectados fueron organismos gubernamentales, seguidos por servicios financieros y manufactura industrial.
Geográficamente, Estados Unidos lideró el volumen de ataques, seguido por Australia, Francia, Alemania y Austria. El patrón confirma que no se trata de ataques dirigidos, sino de explotación masiva oportunista.
Qué deben hacer los CIO ahora
No estamos ante una vulnerabilidad teórica. Está en explotación activa y figura en el catálogo KEV de CISA.
Las organizaciones que utilicen HPE OneView deben:
-
Aplicar inmediatamente los parches publicados por HPE.
-
Verificar exposición externa del endpoint vulnerable.
-
Implementar controles compensatorios si no es posible parchear de inmediato.
-
Revisar logs en busca de actividad sospechosa desde diciembre.
La velocidad del ataque demuestra que el tiempo de reacción es determinante.
Protección y contexto estratégico
Check Point afirma que sus sistemas IPS bloquean activamente los intentos de explotación y que sus actualizaciones se aplican de forma automática en sus firewalls de nueva generación.
Sin embargo, más allá de la protección puntual, el incidente deja una lección estructural: la gestión de vulnerabilidades ya no es un proceso trimestral. Es una disciplina continua.
La explotación de CVE-2025-37164 confirma que los actores automatizan ataques horas después de la divulgación pública. La resiliencia no depende solo de detectar, sino de reducir la superficie expuesta antes de que el exploit se convierta en commodity.
Para los CIO, el mensaje es claro: cada vulnerabilidad crítica publicada debe tratarse como si ya estuviera siendo explotada. Porque, en la práctica, lo está.
