BEDROHUNG
Nachdem Dell vor einer kritischen Schwachstelle in Dell RecoverPoint for Virtual Machines warnte, berichten Mandiant und die Google Threat Intelligence Group, dass diese bereits seit mindestens Mitte 2024 als Zero-Day durch die Gruppe UNC6201 ausgenutzt wird.
Bei CVE-2026-22769 handelt es sich um eine Hardcoded-Credential-Schwachstelle in RecoverPoint for Virtual Machines, die mit einem maximalen CVSS-Score von 10.0 bewertet wurde. Sie ermöglicht einem unauthentifizierten Angreifer mit Kenntnis der fest kodierten Zugangsdaten Zugriff auf das System zur erlangen und z. B. über zusätzliche Benutzer mit Root-Rechten dauerhaften administrativen Zugang einzurichten. In den beobachteten Angriffen wurde der Zugang u. A. genutzt, um über den Apache-Tomcat-Manager Webshells zu platzieren und anschließend Backdoors nachzuladen.
Der Hersteller empfiehlt die Durchführung eines Upgrades oder ein eigens bereitgestelltes Remediation-Script, je nach Version.
Was jetzt zu tun ist:
- Umgehend Upgrade durchführen oder Skript anwenden
- Öffentlichen Zugang beschränken
- Auf Kompromittierung prüfen
Unsere Empfehlung
Die kritische Schwachstelle CVE‑2026‑22769 in Dell RecoverPoint for Virtual Machines wird seit mindestens Mitte 2024 aktiv als Zero‑Day durch die Gruppe UNC6201 ausgenutzt. Die Lücke (CVSS 10.0) basiert auf fest kodierte Zugangsdaten und ermöglicht Angreifern vollständigen Root‑Zugriff sowie das Nachladen von Webshells und Backdoors.
Eine moderne Endpoint Detection & Response (EDR)‑Lösung, wie SentinelOne, würde verdächtige Aktivitäten erkennen, die ein Angreifer nach dem initialen Zugang im internen Netzwerk ausführt. Dazu gehören insbesondere die Nutzung nativer Windows-Tools wie PowerShell, cmd, WMI oder andere Living‑off‑the‑Land‑Techniken.
Sobald ungewöhnliche oder potenziell schädliche Befehle ausgeführt werden – etwa das Nachladen von Schadcode, das Ablegen von Webshells oder das Manipulieren von Systemdiensten – würde die EDR diese Aktivitäten automatisch erkennen, korrelieren und einen Alarm auslösen. Dadurch kann ein möglicher Angriff schnell identifiziert, eingedämmt und weiter untersucht werden.
Autor: Michael Niers
