Folgen 
SOC Prime hat kürzlich eine Welle von aktiv ausgenutzten Zero-Days in großen Ökosystemen behandelt, darunter Apples CVE-2026-20700 und Microsofts CVE-2026-20805, sowie einen neuen Chrome Zero-Day Fall. Aber die Flut von Bedrohungen zieht auch 2026 weiter. Kürzlich haben Forscher von Mandiant und der Google Threat Intelligence Group (GTIG) die aktive Ausbeutung von CVE-2026-22769, einer Schwachstelle mit maximaler Schweregrad in Dell-Produkten, die auf fest kodierte Zugangsdaten zurückzuführen ist, detailliert beschrieben.
Das Augenmerk liegt auf Dell RecoverPoint für virtuelle Maschinen, einer VMware-fokussierten Backup- und Desaster-Recovery-Lösung, die zum Ziel einer in freier Wildbahn vorkommenden Zero-Day-Kampagne geworden ist, die vermuteten China-Nexus-Aktivitäten zugeschrieben wird. Mit einem CVSS-Score von 10.0 bewertet, soll CVE-2026-22769 Berichten zufolge seit mindestens Mitte 2024 von dem China-verbundenen Cluster UNC6201 ausgenutzt werden, um Angreifern Zugang zu verschaffen und mehrere Malware-Familien bereitzustellen, darunter BRICKSTORM und GRIMBOLT.
Die SOC Prime-Plattform hilft Sicherheitsteams, die Lücke zwischen „ein CVE wurde veröffentlicht“ und „wir haben Erkennungsinformationen“ zu schließen. Melden Sie sich jetzt an , um auf das weltweit größte Erkennungsintelligenz-Dataset zuzugreifen, unterstützt durch fortschrittliche Lösungen, um Ihr SOC auf die nächste Stufe zu heben. Klicken Sie auf Erkennungen erkunden , um auf schwachstellenfokussierte Erkennungsinhalte zuzugreifen, die vorgefiltert durch das „CVE“-Tag sind.
Alle Regeln sind kompatibel mit Dutzenden von SIEM-, EDR- und Data Lake-Formaten und sind auf MITRE ATT&CK®abgebildet. Darüber hinaus wird jede Regel durch umfangreiche Metadaten angereichert, einschließlich CTI-Referenzen, Attack Flow-Visualisierungen, Triage-Empfehlungen, Audit-Konfigurationen und mehr.
Sicherheitsteams können auch Uncoder AI nutzen, um die Detection Engineering end-bis-Ende zu beschleunigen, indem sie Regeln direkt aus aktuellen Bedrohungsberichten generieren, Erkennung verfeinern und validieren logik, IOCs in benutzerdefinierte Jagd-Anfragen umwandeln und Erkennungscode über verschiedene Sprachformate sofort übersetzen. converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.
CVE-2026-22769-Analyse
In seinem Advisory vom 17. Februar 2026 beschreibt Dell CVE-2026-22769 als Schwachstelle durch fest kodierte Zugangsdaten in RecoverPoint for Virtual Machines vor Version 6.0.3.1 HF1 und stuft sie mit der höchsten Schwere ein. Dell warnt, dass ein nicht authentifizierter Remote-Angreifer, der die fest kodierten Zugangsdaten kennt, unbefugten Zugriff auf das zugrunde liegende Betriebssystem erlangen und sogar eine Persistenz auf Root-Ebene etablieren könnte.
Die GTIG- und Mandiant-Untersuchung fügt die betrieblichen Details zu diesen Auswirkungen hinzu. Sicherheitsexperten beobachteten Aktivitäten gegen den Apache Tomcat-Manager des Geräts, einschließlich Webanfragen mit dem Admin-Benutzernamen, die zur Bereitstellung einer bösartigen WAR-Datei führten, die die SLAYSTYLE-Web-Shell enthielt. Die Forscher verfolgten dies dann zu fest codierten Standardzugangsdaten für den Admin-Benutzer in der Tomcat Manager-Konfiguration unter /home/kos/tomcat9/tomcat-users.xml. Mit diesen Zugangsdaten konnte sich ein Angreifer beim Tomcat Manager authentifizieren und eine WAR über die /manager/text/deploy -Endpunkt bereitstellen, was zu einer Befehlsausführung als Root auf dem Gerät führt.
Es wird angenommen, dass UNC6201 diesen Einstiegspunkt für seitliche Bewegungen, Persistenz und Malware-Bereitstellung genutzt hat, wobei die früheste identifizierte Ausbeutung bis Mitte 2024 zurückreicht. Der anfängliche Zugangskanal wurde in diesen Fällen nicht bestätigt, aber GTIG stellt fest, dass UNC6201 dafür bekannt ist, Edge-Geräte als Einstiegspunkt anzugreifen.
Das Nach-Kompromittierungs-Arsenal entwickelte sich im Laufe der Zeit ebenfalls weiter. Mandiant berichtet, dass BRICKSTORM -Binärdateien gefunden und dann im September 2025 ein Austausch mit GRIMBOLT beobachtet wurden. GRIMBOLT wird als C#-Hintertür beschrieben, die mit nativer AOT-Kompilierung kompiliert und mit UPX gepackt wurde. Sie bietet Fernshell-Funktionalität und verwendet dieselbe C2-Infrastruktur wie BRICKSTORM. Die Forscher stellen fest, dass unklar ist, ob der Austausch ein geplantes Upgrade oder eine Reaktion auf Druck durch Maßnahmen zur Vorfallsintervention war.
Die Aktivitäten beschränkten sich nicht nur auf das RecoverPoint-Gerät. Mandiant berichtet, dass UNC6201 tiefer in virtualisierte Umgebungen der Opfer vorgedrungen ist, indem vorübergehende virtuelle Netzwerkanschlüsse auf VMware ESXi-Servern erstellt wurden, wodurch versteckte Netzwerkanbindungen eingeleitet wurden, die häufig als „Ghost NICs“ bezeichnet werden. Diese Technik ermöglichte es den Angreifern, sich unauffällig von kompromittierten VMs in breitere interne Netzwerke zu bewegen und in einigen Fällen zu SaaS-Umgebungen vorzudringen.
Forscher berichten auch von Überschneidungen zwischen UNC6201 und einem anderen China-Nexus-Cluster, der als UNC5221 bekannt ist und dafür bekannt ist, Ivanti-Zero-Days auszunutzen und zuvor in Berichten mit Silk Typhoon in Verbindung gebracht wurde, obwohl GTIG feststellt, dass diese Cluster nicht als identisch angesehen werden.
CVE-2026-22769-Minderungsmaßnahmen
Die Anleitung zur Behebung von Dell ist eindeutig, erfordert jedoch eine konsequente Durchführung. Für die 6.x-Linie weist Dell die Kunden darauf hin, auf 6.0.3.1 HF1 zu aktualisieren oder das im Advisory referenzierte Anbieter-Skript anzuwenden und bietet auch Migrations-/Upgrade-Pfade für betroffene 5.3-Service-Pack-Konfigurationen an.
Um die Reichweite über Patchen hinaus zu stärken, verlassen Sie sich auf die SOC Prime Plattform , um auf das weltweit größte Erkennungsintelligenz-Dataset zuzugreifen, einen End-to-End-Pipeline zu übernehmen, die von der Erkennung bis zur Simulation geht, während Sicherheitsoperationen optimiert und Reaktionsabläufe beschleunigt, den technischen Aufwand reduziert und über aufkommende Bedrohungen informiert bleibt.
FAQ
Was ist CVE-2026-22769 und wie funktioniert es?
CVE-2026-22769 ist eine kritische Schwachstelle bezüglich fest codierter Zugangsdaten in Dell RecoverPoint für virtuelle Maschinen. Der Fehler ermöglicht einem nicht authentifizierten Remote-Angreifer mit Kenntnis der fest codierten Zugangsdaten, unbefugt auf das zugrunde liegende Betriebssystem zuzugreifen und `root`-Persistenz zu erreichen.
Wann wurde CVE-2026-22769 erstmals entdeckt?
Dell veröffentlichte seine Beratung am 17. Februar 2026, während GTIG und Mandiant berichten, dass die früheste bekannte Ausbeutungsaktivität Mitte 2024 stattfand.
Welche Risiken stellt CVE-2026-22769 für Organisationen dar?
Erfolgreiche Ausbeutung kann Fernzugriff auf das Gerät gewähren und `root`-Persistenz ermöglichen, was die Bereitstellung von Malware, den unauffälligen Langzeitzugriff und das Vordringen in VMware und Unternehmensinfrastrukturen unterstützen kann.
Kann CVE-2026-22769 mich 2026 noch betreffen?
Ja. Wenn RecoverPoint für virtuelle Maschinen in einer anfälligen Version vor 6.0.3.1 HF1 läuft oder eine betroffene 5.3-Build-Version, die nicht gemäß Dells Anleitung aktualisiert wurde, kann die Umgebung exponiert bleiben.
Wie können Sie sich vor CVE-2026-22769 schützen?
Wenden Sie Dells Maßnahmen zur Behebung sofort an, indem Sie ein Upgrade auf 6.0.3.1 HF1 durchführen oder den Anbieter-Skriptpfad zur Behebung verwenden, dann überprüfen Sie die Versionskonformität über alle Geräte und verwandten Managementoberflächen hinweg.
