Cve-2026-22769

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

Uma vulnerabilidade de segurança de severidade máxima no Dell RecoverPoint for Virtual Machines, identificada como CVE-2026-22769, está sendo explorada como um zero-day por um grupo de ameaças suspeito de estar ligado à China, denominado UNC6201. Essa falha, que afeta versões anteriores à 6.0.3.1 HF1, envolve credenciais hard-coded que permitem a um atacante remoto não autenticado acessar o sistema operacional subjacente e obter persistência em nível root. A Dell recomenda que o RecoverPoint seja utilizado em redes internas confiáveis e controladas, uma vez que não é adequado para redes não confiáveis ou públicas. O grupo UNC6201 tem como alvo organizações na América do Norte e utiliza um backdoor chamado GRIMBOLT, que é mais difícil de detectar. Além disso, a atividade do grupo está relacionada a outras campanhas de espionagem, destacando a importância de monitorar e proteger sistemas que não suportam soluções tradicionais de detecção e resposta a endpoints (EDR).

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.