Alerta por explotación de vulnerabilidad crítica en Dell RecoverPoint
Publicado el
Vulnerabilidad crítica en Dell RecoverPoint for VMs
Una vulnerabilidad de máxima gravedad ha sido descubierta en Dell RecoverPoint for Virtual Machines, conocida como CVE-2026-22769. Este fallo, que tiene una puntuación de 10.0 en el sistema CVSS, ha estado siendo explotado desde mediados de 2024 por un grupo de amenazas sospechoso, identificado como UNC6201, vinculado a China.
Naturaleza del problema
La vulnerabilidad se debe a credenciales hard-coded que afectan a las versiones anteriores a 6.0.3.1 HF1. Otros productos como RecoverPoint Classic no están afectados. Dell ha advertido que un atacante remoto no autenticado que conozca estas credenciales podría obtener acceso no autorizado al sistema operativo subyacente, lo que permite mantener la persistencia de nivel root.
Productos afectados
Los siguientes productos son vulnerables: - RecoverPoint for Virtual Machines Version 5.3 SP4 P1: Es necesario migrar a RecoverPoint for Virtual Machines 5.3 SP4 P1 a 6.0 SP3 y luego actualizar a 6.0.3.1 HF1. - RecoverPoint for Virtual Machines Versions 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3, y 6.0 SP3 P1: Deben ser actualizadas a 6.0.3.1 HF1. - RecoverPoint for Virtual Machines Versions 5.3 SP4, 5.3 SP3, 5.3 SP2, y versiones anteriores: Se debe actualizar a la versión 5.3 SP4 P1 o a una versión 6.x, y luego aplicar la remediación necesaria.
Dell ha recomendado que la implementación de RecoverPoint for Virtual Machines se realice dentro de una red interna controlada por accesos, protegida con firewalls y segmentación de red. Este producto no está diseñado para su uso en redes no confiables o públicas.
Métodos de explotación
La credencial hard-coded se relaciona con un usuario admin para la instancia del Apache Tomcat Manager, que puede utilizarse para autenticarse en el Dell RecoverPoint Tomcat Manager. Un atacante podría subir un web shell llamado SLAYSTYLE a través del endpoint /manager/text/deploy y ejecutar comandos como root en el dispositivo, permitiendo la instalación de la puerta trasera BRICKSTORM y su versión más reciente GRIMBOLT. Este último es un backdoor en C# compilado mediante AOT compilation, lo que dificulta su ingeniería inversa.
Impacto de las amenazas
La actividad de los atacantes ha estado dirigida a organizaciones en América del Norte, con GRIMBOLT incorporando características que le permiten evadir detección y minimizar las huellas forenses en los sistemas infectados. Además, se ha observado que UNC6201 comparte similitudes con UNC5221, otro grupo de espionaje vinculado a China, conocido por explotar tecnologías de virtualización y vulnerabilidades de Ivanti.
Técnicas de ocultación
UNC6201 ha utilizado interfaces de red virtual temporales, denominadas Ghost NICs, para pivotar de máquinas virtuales comprometidas a entornos internos o SaaS, eliminando estas NICs para cubrir sus huellas y dificultar las investigaciones. Según Google, este comportamiento es consistente con la campaña anterior de BRICKSTORM, que continúa atacando dispositivos que generalmente no cuentan con soluciones de EDR, lo que permite a los atacantes permanecer indetectados durante períodos prolongados.
Conclusiones
Los actores de amenazas estatales siguen dirigiendo sus ataques hacia sistemas que no suelen soportar soluciones de EDR, lo que complica a las organizaciones afectadas detectar compromisos en sus sistemas. Dell ha instado a los usuarios a tomar medidas inmediatas para proteger sus entornos y evitar la explotación de esta grave vulnerabilidad.