Dell RecoverPoint sérülékenység kihasználása
A UNC6201 néven azonosított, feltételezett kínai állami támogatással dolgozó csoport egy kritikus, zero-day biztonsági rést használt ki a Dell RecoverPoint for Virtual Machines virtualizációs mentés- és helyreállítási megoldásban, mielőtt azt a gyártó javította volna.
A sérülékenyéget CVE-2026-22769-ként azonosították, CVSS 10,0-ás súlyossági besorolással, és a támadások legalább 2024 közepétől folyamatosan zajlanak. A sebezhetőség gyökere olyan beégetett hitelesítő adatokban található, amelyeken keresztül a támadók hitelesítés nélkül férhettek hozzá a rendszerhez, majd a webes Apache Tomcat Manager interfészen keresztül rosszindulatú web-alkalmazás fájlokat telepítettek, amelyek root-szintű tartós hozzáférést biztosítottak.
A kampány során a behatolók kezdetben olyan backdoor eszközöket telepítettek, mint a SLAYSTYLE és BRICKSTORM, majd később egy újabb, nehezebben észlelhető GRIMBOLT nevű backdoor váltotta fel ezeket, a jobb végrehajtási teljesítmény és nehezebb statikus elemzés érdekében. A kompromittálás révén a támadók nem csak a RecoverPoint eszközökön tudtak tartós jelenlétet kialakítani, hanem oldalirányban is tovább tudtak hatolni vállalati VMware-környezetekbe, ami komoly kockázatot jelent a virtualizált infrastruktúra integritására. Dell a hibát később javította, és sürgette az érintett verziók mielőbbi frissítését, de a támadás hosszú ideig rejtve maradt, ami jól illusztrálja, milyen veszélyt hordoznak a felfedezetlen, exploitált zero-day hibák a modern vállalati rendszerek számára.
