Een Chinese hackersgroepering maakt al sinds midden 2024 gebruik van een ongekende bug in Dell RecoverPoint voor VM’s.
Beveiligingsonderzoekers hebben een actief misbruik vastgesteld van een kritieke kwetsbaarheid in Dell RecoverPoint for Virtual Machines. Aanvallers gebruiken het lek, geregistreerd als CVE-2026-22769, om ongeautoriseerde toegang te krijgen tot back-upomgevingen en van daaruit verder het netwerk in te bewegen.
Dell heeft inmiddels beveiligingsupdates gepubliceerd voor de kritieke bug. Die heeft een perfecte CVSS-score van 10. De updates installeren, mag absolute prioriteit zijn, aangezien hackers actief aan de slag gaan met de bug.
Volgens onderzoekers van Mandiant en Google Threat Intelligence wordt de kwetsbaarheid al sinds midden 2024 uitgebuit door een Chinese groep die zij aanduiden als UNC6201. Het lek zit in een beheercomponent van Dell RecoverPoint en laat toe om met standaard inloggegevens kwaadaardige bestanden te uploaden. Daardoor kunnen aanvallers commando’s uitvoeren met uitgebreide systeemrechten.
Brede toegang
Organisaties die Dell RecoverPoint for Virtual Machines gebruiken, lopen het risico. Dat product wordt ingezet voor databescherming in VMware-omgevingen. Wanneer een aanvaller de oplossing compromitteert, krijgt die potentieel toegang tot virtuele machines en onderliggende infrastructuur.
De groep installeert achterdeurtjes zoals Brickstorm en een recentere variant, Grimbolt. Daarmee behouden aanvallers langdurig toegang. Ze passen ook systeemscripts aan zodat de malware automatisch opstart na een reboot. In meerdere gevallen verplaatsten de aanvallers zich vervolgens naar VMware-omgevingen, waar ze extra netwerktoegang creëerden om onopgemerkt lateraal te bewegen.
Doelwitten
Bedrijven met een on-premises VMware-omgeving en Dell RecoverPoint zijn kwetsbaar, vooral als beheerinterfaces rechtstreeks of onrechtstreeks bereikbaar zijn via het netwerk. Ook organisaties die edge-apparaten (zoals VPN-concentratoren) blootstellen, vormen een mogelijk doelwit.
Beveiligingsteams doen er goed aan om na te gaan of de beveiligingsupdates zijn uitgerold. Daarnaast is het aangewezen om logbestanden van RecoverPoint te controleren op verdachte beheeracties en ongebruikelijke bestandsuploads. Omdat de oplossing een centrale rol speelt in databescherming, kan een inbraak grote impact hebben op beschikbaarheid en vertrouwelijkheid van bedrijfsgegevens.