Kritische Dell-Lücke seit 2024 ausgenutzt

3 days ago 3

RecoverPoint for Virtual Machines Chinesische Hacker missbrauchen Dell-Sicherheitslücke seit 2024

Bereits seit 2024 nutzen chinesische Hacker eine maximal kritische Zero-Day-Sicherheitslücke in Dell RecoverPoint for Virtual Machines aus. Diese ermöglicht Angreifern unbefugten Zugriff mit Root-Rechten. Nutzer sollten schnellstmöglich patchen.

Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet.

(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Für Nutzer von Dell RecoverPoint ist aus Sicht der Cybersicherheit der schlimmste Fall ein­ge­tre­ten: Eine Sicherheitslücke mit dem höchstmöglichen CVSS-Score 10.0 wird aktiv ausgenutzt. EUVD-2026-7966* / CVE-2026-22769 (EPSS-Score 0.00) beschreibt das Problem, dass in RecoverPoint für virtuelle Maschinen (RPVMs) fest codierte Anmeldeinformationen vorhanden sind. Cyberangreifer, die in Besitz dieser Anmeldedaten gelangen, können die Schwachstelle ausnutzen und sich Zugriff auf das zugrundeliegende Betriebssystem und dauerhafte Root-Rechte verschaffen.

Produkt Betroffene Versionen Abhilfemaßnahmen
RecoverPoint for Virtual Machines Version 5.3 SP4 P1 Führen Sie die folgenden Schritte in der angegebenen Reihenfolge aus:
1. Migrieren Sie von RecoverPoint for Virtual Machines 5.3 SP4 P1 auf 6.0 SP3 (Anweisungen)
2. Upgrade auf 6.0.3.1 HF1
ODER
Führen Sie die Anweisungen im Artikel der Wissensdatenbank aus, um das Remediation-Skript auszuführen: RecoverPoint for Virtual Machines: Anwenden des Remediation-Skripts für DSA-2026-079
RecoverPoint for Virtual Machines Versionen 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 und 6.0 SP3 P1 Upgrade auf 6.0.3.1 HF1
ODER
Führen Sie die Anweisungen im Artikel der Wissensdatenbank aus, um das Remediation-Skript auszuführen: RecoverPoint for Virtual Machines: Anwenden des Remediation-Skripts für DSA-2026-079

Dell RecoverPoint for Virtual Machines ist eine Betriebs- und Disaster-Recovery-Lösung, die speziell für VMware-Umgebungen entwickelt wurde. Sie ermöglicht den Schutz von Daten mit der Fähigkeit zur Wiederherstellung durch lokale und externe Replikation, einschließlich Rep­likation in die Cloud. Die CISA hat EUVD-2026-7966 / CVE-2026-22769 am 18. Februar 2026 in ihren KEV-Kata­log aufgenommen und gab US-Behörden bis zum 21. Februar 2026 Zeit, die Zero-Day-Schwachstelle zu patchen.

Pixabay)

Erstzugriff über Edge-Geräte

Dell berichtet, von Google Mandiant einen Bericht über eine begrenzte aktive Ausnutzung dieser Sicherheitslücke erhalten zu haben. Mandiant zufolge wird EUVD-2026-7966 / CVE-2026-22769 seit mindestens Mitte 2024 von der Hackergruppe „UNC6201“ ausgenutzt, die vor allem für ihre Spionage­ak­ti­vi­tä­ten bekannt ist und mit China in Verbindung steht. Die Akteure hätten sich lateral fortbewegt, einen dauerhaften Zugriff eingerichtet und Schad­soft­ware wie „Slaystyle“, „Brickstorm“ und eine neuartige Backdoor namens „Grimbolt“ verbreitet. Den ursprünglichen Zugriffsvektor hätten die Forscher nicht identifizieren können, UNC6201 hätte allerdings Edge-Geräte, wie VPN-Kon­zentratoren, für den Erstzugriff angegriffen.

Dall-E / KI-generiert)

Unbefugte Aktivitäten gegen Apache Tomcat Manager

Mandiant hat eigenen Angaben nach mehrere RPVMs untersucht, die mithilfe von CVE-2026­22769 kompromittiert wurden, und festgestellt, dass diese aktive Command-and-Control-Ver­bindungen mit den Backdoors Brickstorm udn Grimbolt verfügten. Vor der Kom­pro­mit­tier­ung seien mehrere Webanfragen mit dem Benutzernamen „admin“ an eine Appliance gerichtet wor­den, die dann an den installierten Apache Tomcat Manager weiter­ge­sendet worden seien. Die­ser wird zur Bereitstellung verschiedener Komponenten der RecoverPoint-Software ver­wendet und habe im Falle von EUVD-2026-7966 / CVE-2026-22769 zur Bereitstellung einer schädlichen WAR-Datei (Web Application Archive) mit einer Slaystyle-Webshell geführt.

Nach der Analyse verschiedener Konfigurationsdateien des Tomcat Managers hätten die Ana­lys­ten in der Datei „/home/kos/tomcat9/tomcat-users.xml“ fest codierte Standard­an­mel­de­in­for­ma­tio­nen für den Administratorbenutzer gefunden. Mit diesen Anmeldeinformationen seien die Angreifer in der Lage gewesen, sich beim Dell RecoverPoint Tomcat Manager zu au­then­ti­fi­zier­en, eine schädliche WAR-Datei über den Endpunkt „/manager/text/deploy“ hochzuladen und anschließend Befehle als Root auf der Appliance auszuführen. Erstmals sei diese Art von Cy­ber­an­griff Mitte 2024 beobachtet worden.

© AH TAR STOCK - stock.adobe.com)

Aktuelle Angriffe mit neuen Techniken

Wie die Analysten von Mandiant berichten, würden die Akteure nach wie vor VMware-In­fra­strukturen kompromittieren. Zudem hätten sie mehrere neue Taktiken, Techniken und Ver­fahren (TTPs) entdeckt, über die bisher noch nicht berichtet worden sei. Zum einen entdeckten sie sogenannte Geister-Netzwerkkarten. Dies bedeute, dass die Angreifer neue temporäre Netz­werkports auf bestehenden virtuellen Maschinen erstellt hätten, die auf einem ESXi-Server laufen würden. Mithilfe dieser Netzwerkports seien sie anschließend in ver­schiedene interne Infrastrukturen und SaaS-Lösungen der betroffenen Organisationen eingedrungen.

Zudem hätten sie „iptables-Proxying“ beobachtet. Bei der Analyse kompromittierter vCenter-Appliances habe Mandiant mehrere Befehle aus dem Systemd-Journal wiederherstellen kön­nen, die die Angreifer mithilfe einer eingesetzten SLAYSTYLE-Webshell ausgeführt hätten. Diese iptables-Befehle seien für die Einzelpaket-Autorisierung verwendet worden und würden Folgendes umfassen:

  • Überwachung des eingehenden Datenverkehrs auf Port 443 hinsichtlich einer bestimmten HEX-Zeichenfolge.
  • Hinzufügen der Quell-IP-Adresse dieses Datenverkehrs zu einer Liste. Sofern sich die IP-Adresse auf der Liste befinde und sich mit Port 10443 verbinde, werde die Verbindung akzeptiert.
  • Sobald der erste genehmigte Datenverkehr auf Port 10443 eingehe, werde jeglicher nachfolgender Datenverkehr automatisch umgeleitet.
  • Für die nächsten fünf Minuten werde jeglicher Datenverkehr an Port 443 stillschweigend auf Port 10443 umgeleitet, sofern sich die IP-Adresse auf der Liste der genehmigten Adressen befinde.

Mit diesen neuartigen Techniken würden die Angreifer ihre Bemühungen fortsetzen, VMware-Infrastrukturen zu kompromittieren und unentdeckten Zugang zu internen Netzwerken zu erlangen. Durch die Erstellung temporärer Netzwerkports und den Einsatz von iptables-Proxying seien sie in der Lage, den Datenverkehr gezielt zu überwachen und autorisierten Zugriff zu ermöglichen, während sie gleichzeitig ihre Aktivitäten vor Entdeckung schützen würden. Diese Methoden könnten die Ausweitung ihrer Kontrolle und den Zugriff auf kritische Ressourcen innerhalb der betroffenen Organisationen erleichtern.

Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Sicherheitsmaßnahmen

Neben den Sicherheitsmaßnahmen, die Dell in seinem Security Advisory beschreibt, sollten Nutzer von RecoverPoint für virtuelle Maschinen auch folgende Hinweise und Empfehlungen von Mandiant beachten:

  • Die Webprotokolle des Tomcat Managers werden den Experten zufolge in „/home/kos/auditlog/fapi_cl_audit_log.log“ gespeichert. Prüfen Sie die Protokolldatei auf Anfragen an „/manager“. Solche Anfragen sollten als verdächtig eingestuft werden.
  • Anfragen vom Typ „PUT /manager/text/deploy?path=/<MAL_PATH>&update=true“ seien potenziell schädlich. „MAL_PATH“ sei der Pfad, unter dem eine potenziell schädliche WAR-Datei hochgeladen werde.
  • Hochgeladene WAR-Dateien würden üblicherweise in „/var/lib/tomcat9“ gespeichert.
  • Kompilierte Artefakte für hochgeladene WAR-Dateien befinden sich laut Mandiant in „/var/cache/tomcat9/Catalina“.
  • Tomcat-Anwendungsprotokolle würden sich in „/var/log/tomcat9/“ befinden. Sie sollten alle Ereignisse von „org.apache.catalina.startup.HostConfig.deployWAR“ und „org.apache.catalina.startup.HostConfig.deployWAR“ untersuchen. Localhost enthalte zudem zusätzliche Ereignisse im Zusammenhang mit der WAR-Bereitstellung sowie alle Ausnahmen, die durch schädliche WAR-Dateien und eingebettete Dateien generiert werden.
  • Die Persistenz der Backdoors Brickstorm und Grimbolt auf Dell RecoverPoint für virtuelle Maschinen werde durch die Änderung von „/home/kos/kbox/src/installation/distribution/convert_hosts.sh“ erreicht, um den Pfad zur Backdoor einzufügen.

Mandiant hat zudem eine Liste mit Indicators of Compromise erstellt, die Betroffenen helfen, potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und unerlaubte Aktivitäten in ihren Systemen zu identifizieren.

Dall-E / Vogel IT-Medien GmbH / KI-generiert)

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50745146)

Read Entire Article
  1. Homepage
  2. AI News DE
  3. Kritische Dell-Lücke seit 2024 ausgenutzt

Related

OpenAI startet Codex Security zur Erkennung von Sicherheitslücken in Software-Projekten

OpenAI startet Codex Security zur Erkennung von Sicherheitsl...

10 hours ago 3
KI-Modell Claude findet Firefox-Bugs schneller als die Community

KI-Modell Claude findet Firefox-Bugs schneller als die Commu...

12 hours ago 2
Softbank will Rekordkredit von bis zu 40 Milliarden Dollar für OpenAI-Beteiligung aufnehmen

Softbank will Rekordkredit von bis zu 40 Milliarden Dollar f...

13 hours ago 3