Especialistas identificaram uma falha de segurança classificada como crítica máxima no Dell RecoverPoint for Virtual Machines. Além disso, a falha vem sendo explorada ativamente como zero-day desde pelo menos meados de 2024. Analistas atribuíram a atividade a um cluster de ameaças com possível ligação à China, identificado como UNC6201, conforme análise conjunta do Google Mandiant e do Google Threat Intelligence Group (GTIG).
- Leia também: Google lança verificação por vídeo selfie para recuperação de contas: nova camada de segurança digital
- Leia também: OpenClaw reforça segurança do ClawHub com integração ao VirusTotal para detectar skills maliciosas
- Leia também: Por Que Escolher a Hospedagem Turbo SSD para o seu WordPress: Guia Completo
Pesquisadores catalogaram o problema como CVE-2026-22769. Ele recebeu pontuação
Uma vulnerabilidade de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais foi explorada como um ataque zero-day por um suposto grupo de ameaças com ligação à China, denominado UNC6201 , desde meados de 2024, de acordo com um novo relatório do Google Mandiante do Google Threat Intelligence Group (GTIG).
A atividade envolve a exploração da vulnerabilidade CVE-2026-22769 (pontuação CVSS: 10,0), um caso de credenciais embutidas no código que afeta versões anteriores à 6.0.3.1 HF1. Outros produtos, incluindo o RecoverPoint Classic, não são vulneráveis a essa falha.
“Isso é considerado crítico, pois um invasor remoto não autenticado, com conhecimento das credenciais embutidas no código, poderia potencialmente explorar essa vulnerabilidade, levando ao acesso não autorizado ao sistema operacional subjacente e à persistência em nível de root”, disse a Dell em um boletim divulgado na terça-feira.
Versões afetadas e recomendações de atualização
A empresa listou várias versões vulneráveis e as respectivas recomendações. Primeiramente:
- Versão 5.3 SP4 P1: migrar para 6.0 SP3 e posteriormente atualizar para 6.0.3.1 HF1.
- Versões 6.0, 6.0 SP1, SP1 P1, SP1 P2, SP2, SP2 P1, SP3 e SP3 P1: atualizar diretamente para 6.0.3.1 HF1.
- Versões anteriores à 5.3 SP4: atualizar primeiro para 5.3 SP4 P1 ou versões 6.x antes de aplicar a correção final.
Além disso, a Dell recomenda implantar o sistema apenas em redes internas confiáveis. Essas redes devem possuir proteção por segmentação e firewall. A empresa ressalta que a solução não opera em ambientes públicos ou não confiáveis.
Cadeia de exploração e técnicas utilizadas
A análise técnica indica que as credenciais codificadas estão relacionadas a um usuário administrativo do Apache Tomcat Manager. Dessa forma, o acesso indevido permite autenticação na interface de gerenciamento do Tomcat e possibilita o envio de um web shell denominado SLAYSTYLE por meio do endpoint “/manager/text/deploy”.
Após comprometer o sistema, os invasores podem executar comandos com privilégios elevados e instalar backdoors, incluindo:
- BRICKSTORM
- GRIMBOLT (versão mais recente e mais difícil de analisar devido ao uso de compilação AOT em C#).
Além disso, o malware GRIMBOLT apresenta melhorias voltadas à evasão e redução de rastros forenses, integrando-se melhor a arquivos nativos do sistema.
Perfil do grupo de ameaça e histórico operacional
O cluster UNC6201 compartilha algumas semelhanças com outro grupo relacionado à China conhecido como UNC5221, que já explorou vulnerabilidades em tecnologias de virtualização e falhas zero-day em dispositivos Ivanti para implantar malware e web shells. Entretanto, apesar das semelhanças operacionais, as equipes de inteligência consideram que se tratam de atores distintos no momento.
Empresas de segurança já associaram anteriormente o backdoor BRICKSTORM a um terceiro ator alinhado à China, chamado Warp Panda, em campanhas direcionadas à organização dos Estados Unidos.
Uso de “Ghost NICs” para movimentação lateral
Um aspecto relevante observado nas intrusões recentes é o uso de interfaces virtuais temporárias chamadas de “Ghost NICs”. Assim, essas interfaces permitem que os invasores se movimentam lateralmente a partir de máquinas virtuais comprometidas para ambientes internos ou plataformas SaaS. Posteriormente, eles removem essas interfaces para dificultar investigações.
Técnicas adicionais identificadas nos sistemas comprometidos
Investigações em appliances VMware vCenter afetados revelaram comandos iptables executados via web shell para:
- monitorar tráfego na porta 443 em busca de uma sequência específica em hexadecimal;
- adicionar o IP de origem à lista autorizada caso detectado;
- permitir conexões subsequentes do IP aprovado à porta 10443;
- Redirecionar silenciosamente o tráfego da porta 443 para a porta 10443 por cerca de cinco minutos.
Evolução da campanha e persistência prolongada
Os pesquisadores observaram que o grupo substituiu o malware BRICKSTORM pelo GRIMBOLT em setembro de 2025. No entanto, não está claro se a mudança foi planejada ou uma resposta à divulgação pública do primeiro backdoor.
Segundo especialistas, agentes patrocinados por estados frequentemente visam sistemas que normalmente não possuem soluções tradicionais de detecção e resposta (EDR). Dessa forma, conseguem permanecer ocultos por longos períodos. Além disso, ainda não há confirmação sobre o método inicial de acesso utilizado pelos invasores, mas há evidências de foco em dispositivos de borda como porta de entrada para redes corporativas.
A divulgação ocorre paralelamente a alertas sobre ataques de grupos chineses, incluindo o Volt Typhoon (Voltzite), que comprometeram gateways Sierra Wireless Airlink em setores de energia elétrica e petróleo e gás, com posterior acesso a estações de engenharia e análise de dados operacionais. Consequentemente, pesquisadores apontam que tais ações indicam um avanço significativo, aproximando invasores da capacidade de causar impactos físicos após obter acesso a sistemas industriais.
Fonte: The Hacker News —https://thehackernews.com/2026/02/dell-recoverpoint-for-vms-zero-day-cve.html
Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem de sites
