Suivre 
SOC Prime a récemment couvert une vague de zero-days activement exploités à travers les grands écosystèmes, y compris ceux d’Apple CVE-2026-20700 et de Microsoft CVE-2026-20805, ainsi qu’un tout nouveau zero-day de Chrome . Mais l’avalanche de menaces continue de déferler en 2026. Récemment, des chercheurs de Mandiant et du Google Threat Intelligence Group (GTIG) ont détaillé l’exploitation active de CVE-2026-22769, une vulnérabilité de crédentiel codé en dur de sévérité maximale dans les produits Dell.
Le point de mire est sur Dell RecoverPoint for Virtual Machines, une solution de sauvegarde et de reprise après sinistre centrée sur VMware qui est devenue la cible d’une campagne zero-day dans la nature attribuée à une activité suspectée de nexus chinois. Suivie avec un score CVSS de 10.0, CVE-2026-22769 a apparemment été exploitée par le cluster lié à la Chine UNC6201 depuis au moins mi-2024, permettant aux attaquants d’établir un accès et de déployer plusieurs familles de malwares, y compris BRICKSTORM et GRIMBOLT.
La plateforme SOC Prime aide les équipes de sécurité à combler l’écart entre « un CVE a été divulgué » et « nous avons des informations de détection ». Inscrivez-vous maintenant pour accéder au plus grand ensemble de données d’intelligence de détection au monde, soutenu par des solutions avancées pour porter votre SOC au niveau supérieur. Cliquez sur Explorer les Détections pour atteindre le contenu de détection axé sur les vulnérabilités pré-filtré par l’étiquette « CVE ».
Toutes les règles sont compatibles avec des dizaines de formats SIEM, EDR et data lake et mappées sur MITRE ATT&CK®. De plus, chaque règle est enrichie avec des métadonnées étendues, y compris des références CTI, la visualisation Attack Flow, des recommandations de triage, des configurations d’audit, et plus encore.
Les équipes de sécurité peuvent également tirer parti de Uncoder AI pour accélérer l’ingénierie de la détection endde bout-en-bout en générant des règles directement à partir de rapports de menaces en temps réel, en affinant et validant la logique de détection, convertissant des IOC en requêtes de chasse personnalisées, et traduisant instantanément le code de détection entre divers formats de langage.
Analyse de CVE-2026-22769
Dans son avis du 17 février 2026, Dell décrit CVE-2026-22769 comme une vulnérabilité de crédentiel codé en dur dans RecoverPoint for Virtual Machines avant 6.0.3.1 HF1, et lui attribue une cote de gravité maximale. Dell avertit qu’un attaquant distant non authentifié connaissant le crédentiel codé en dur pourrait obtenir un accès non autorisé au système d’exploitation sous-jacent et même établir une persistance au niveau root.
L’enquête de GTIG et Mandiant apporte le détail opérationnel derrière cet impact. Les experts en sécurité ont observé une activité contre le gestionnaire Apache Tomcat de l’appareil, y compris des requêtes web utilisant le nom d’utilisateur admin qui ont abouti au déploiement d’un fichier WAR malveillant contenant la web shell SLAYSTYLE. Les chercheurs ont ensuite retracé cela à des informations d’identification par défaut codées en dur pour l’utilisateur admin dans la configuration de Tomcat Manager à /home/kos/tomcat9/tomcat-users.xml. En utilisant ces informations, un attaquant pourrait s’authentifier auprès de Tomcat Manager et déployer un WAR via le /manager/text/deploy endpoint, entraînant une exécution de commande en tant que root sur l’appareil.
UNC6201 est évalué avoir utilisé cette tête de pont pour le mouvement latéral, la persistance et le déploiement de malwares, la première exploitation identifiée remontant à mi-2024. Le vecteur d’accès initial n’a pas été confirmé dans ces cas, mais GTIG note que UNC6201 est connu pour cibler les appliances de périphérie comme point d’entrée.
Le matériel post-compromission a également évolué avec le temps. Mandiant rapporte avoir trouvé des binaires BRICKSTORM puis observé un remplacement par GRIMBOLT en septembre 2025. GRIMBOLT est décrit comme une porte dérobée C# compilée en utilisant la compilation native anticipée (AOT) et emballée avec UPX, offrant une capacité de shell à distance tout en utilisant le même C2 que BRICKSTORM. Les chercheurs notent qu’il n’est pas clair si le remplacement était une mise à jour planifiée ou une réponse à la pression de la réponse à l’incident.
L’activité ne s’est pas arrêtée à l’appareil RecoverPoint. Mandiant rapporte que UNC6201 a pénétré plus profondément dans les environnements virtualisés des victimes en créant des ports de réseau virtuels temporaires sur les serveurs VMware ESXi, mettant efficacement en place une connectivité réseau cachée communément appelée « Ghost NICs ». Cette technique a permis aux attaquants de se déplacer discrètement depuis les VM compromises dans des réseaux internes plus larges et, dans certains cas, vers des environnements SaaS.
Les chercheurs rapportent également des chevauchements entre UNC6201 et un autre cluster de nexus chinois suivi sous le nom UNC5221, connu pour exploiter les zero-days d’Ivanti et précédemment associé dans les rapports à Silk Typhoon, bien que GTIG note que ces clusters ne sont pas considérés comme identiques.
Mitigation de CVE-2026-22769
Les directives de remédiation de Dell sont claires, mais nécessitent un suivi. Pour la ligne 6.x, Dell invite les clients à passer à la version 6.0.3.1 HF1 ou à appliquer le script de remédiation du fournisseur mentionné dans l’avis, et fournit également des chemins de migration/mise à niveau pour les builds de service pack 5.3 affectés.
Pour renforcer la couverture au-delà des correctifs, comptez sur la plateforme SOC Prime pour accéder au plus grand ensemble de données d’intelligence de détection au monde, adopter une pipeline de bout-en-bout qui s’étend de la détection à la simulation tout en simplifiant les opérations de sécurité et en accélérant les workflows de réponse, réduire la surcharge d’ingénierie, et rester en avance sur les menaces émergentes.
FAQ
Qu’est-ce que CVE-2026-22769 et comment fonctionne-t-il ?
CVE-2026-22769 est une vulnérabilité critique de crédentiel codé en dur dans Dell RecoverPoint for Virtual Machines. La faille permet à un attaquant distant non authentifié connaissant le crédentiel codé en dur d’obtenir un accès non autorisé au système d’exploitation sous-jacent et d’atteindre une persistance au niveau root.
Quand CVE-2026-22769 a-t-il été découvert pour la première fois ?
Dell a publié son avis le 17 février 2026, tandis que GTIG et Mandiant rapportent que la première activité d’exploitation identifiée a eu lieu mi-2024.
Quels risques CVE-2026-22769 pose-t-il aux organisations ?
Une exploitation réussie peut fournir un accès à distance à l’appareil et permettre une persistance au niveau root, ce qui peut soutenir le déploiement de malwares, un accès furtif à long terme, et un pivotement plus profond dans l’infrastructure VMware et d’entreprise.
CVE-2026-22769 peut-il encore m’affecter en 2026 ?
Oui. Si RecoverPoint for Virtual Machines exécute une version vulnérable antérieure à 6.0.3.1 HF1, ou une build affectée 5.3 qui n’a pas été mise à niveau selon les directives de Dell, l’environnement peut rester exposé.
Comment pouvez-vous vous protéger de CVE-2026-22769 ?
Appliquez immédiatement les mesures correctives de Dell en mettant à niveau vers la version 6.0.3.1 HF1 ou en utilisant le chemin de script de remédiation du vendeur, puis confirmez la conformité de la version sur tous les appareils et surfaces de gestion associées.
