CVE-2026-22769: Critica Zero-Day di Dell RecoverPoint Sfruttata nel Mondo

SOC Prime ha recentemente coperto un’ondata di zero-day sfruttati attivamente in vari ecosistemi principali, tra cui quello di Apple, CVE-2026-20700 e quello di Microsoft, CVE-2026-20805, insieme a un nuovo caso di zero-day di Chrome . Ma l’avalanga di minacce continua ad avanzare nel 2026. Recentemente, i ricercatori di Mandiant e del Google Threat Intelligence Group (GTIG) hanno dettagliato lo sfruttamento attivo della CVE-2026-22769, una vulnerabilità di credenziali hardcoded di massima gravità nei prodotti Dell.

L’attenzione è su Dell RecoverPoint for Virtual Machines, una soluzione di backup e recupero d’emergenza focalizzata su VMware che è diventata il bersaglio di una campagna zero-day in the wild attribuita ad attività sospettate di origine cinese. Tracciata con un punteggio CVSS di 10.0, si riporta che la CVE-2026-22769 sia stata sfruttata dal gruppo legato alla Cina UNC6201 almeno dalla metà del 2024, permettendo agli attaccanti di stabilire accesso e distribuire diverse famiglie di malware, tra cui BRICKSTORM e GRIMBOLT.

La piattaforma SOC Prime aiuta i team di sicurezza a colmare il divario tra ‘è stata divulgata una CVE’ e ‘abbiamo l’intelligence di rilevamento’. Iscriviti ora per accedere al più grande dataset di intelligence di rilevamento del mondo, supportato da soluzioni avanzate per portare il tuo SOC al livello successivo. Clicca Esplora Rilevamenti per accedere ai contenuti di rilevamento focalizzati sulle vulnerabilità pre-filtrati con il tag ‘CVE’.

Esplora Rilevamenti

Tutte le regole sono compatibili con dozzine di formati SIEM, EDR e Data Lake e mappate su MITRE ATT&CK®. Inoltre, ogni regola è arricchita con un’estesa metadata, inclusi riferimenti CTI, visualizzazione del Flusso di Attacco, raccomandazioni per il triage, configurazioni di audit, e altro.

I team di sicurezza possono anche avvalersi di Uncoder AI per accelerare l’ingegneria del rilevamento end-to-end generando regole direttamente dai report delle minacce live, raffinando e validando generating rules directly from live threat reports, refining and validating la logica del rilevamento, convertendo IOCs in query di caccia personalizzate, e traducendo istantaneamente il codice di rilevamento in vari formati linguistici. converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.

Analisi della CVE-2026-22769

Nel suo avviso del 17 febbraio 2026, Dell descrive la CVE-2026-22769 come una vulnerabilità di credenziali hardcoded in RecoverPoint for Virtual Machines precedenti alla 6.0.3.1 HF1, e le assegna una valutazione di massima gravità. Dell avverte che un attore remoto non autenticato che conosce le credenziali hardcoded potrebbe ottenere accesso non autorizzato al sistema operativo sottostante e persino stabilire una persistenza a livello di root.

L’indagine di GTIG e Mandiant aggiunge il dettaglio operativo dietro quell’impatto. Gli esperti di sicurezza hanno osservato attività contro il gestore Apache Tomcat dell’apparecchio, inclusi richieste web utilizzando il nome utente admin che hanno portato al deployment di un file WAR dannoso contenente la web shell SLAYSTYLE. I ricercatori hanno poi rintracciato questo fino alle credenziali predefinite hard-coded per l’utente admin nella configurazione del gestore Tomcat su /home/kos/tomcat9/tomcat-users.xml. Usando quelle credenziali, un attaccante potrebbe autenticarsi al gestore Tomcat e distribuire un WAR tramite il /manager/text/deploy endpoint, portando all’esecuzione di comandi come root sull’apparecchio.

Si valuta che UNC6201 abbia utilizzato questo punto d’appoggio per il movimento laterale, la persistenza e il deployment di malware, con il primo sfruttamento identificato che risale alla metà del 2024. Il vettore d’accesso iniziale non è stato confermato in questi casi, ma GTIG nota che UNC6201 è noto per mirare ad apparecchi edge come punto d’ingresso.

Anche gli strumenti post-compromesso si sono evoluti nel tempo. Mandiant riporta il rilevamento di binari BRICKSTORM e poi un osservare una sostituzione con GRIMBOLT nel settembre 2025. GRIMBOLT è descritto come un backdoor C# compilato usando la compilazione native ahead-of-time (AOT) e impacchettato con UPX, fornendo capacità di shell remota mentre utilizza la stessa C2 di BRICKSTORM. I ricercatori notano che non è chiaro se il cambiamento fosse un aggiornamento pianificato o una risposta alla pressione della risposta all’incidente.

L’attività non si è fermata all’apparecchio RecoverPoint. Mandiant riporta che UNC6201 si è spinto più a fondo negli ambienti virtualizzati delle vittime creando porte di rete virtuali temporanee sui server VMware ESXi, attivando effettivamente la connettività di rete nascosta comunemente chiamata “Ghost NICs”. Questa tecnica ha permesso agli attaccanti di muoversi silenziosamente dalle VM compromesse verso reti interne più ampie e, in alcuni casi, verso ambienti SaaS.

I ricercatori riportano anche sovrapposizioni tra UNC6201 e un altro cluster connesso alla Cina tracciato come UNC5221, noto per sfruttare zero-day di Ivanti e precedentemente collegato in rapporti a Silk Typhoon, anche se GTIG nota che questi cluster non sono considerati identici.

Mitigazione della CVE-2026-22769

Le linee guida di mitigazione di Dell sono chiare, ma richiedono di essere seguite fino in fondo. Per la versione 6.x, Dell indica ai clienti di aggiornare alla 6.0.3.1 HF1 o di applicare lo script di rimedio del venditore menzionato nell’avviso, e fornisce anche percorsi di migrazione/aggiornamento per i build del service pack 5.3 interessati.

Per rafforzare la copertura oltre le patch, affidati alla Piattaforma SOC Prime per accedere al più grande dataset di intelligence di rilevamento mondiale, adottare un pipeline end-to-end che spazia dal rilevamento alla simulazione mentre snellisce le operazioni di sicurezza e accelera i flussi di lavoro di risposta, riduce il carico di lavoro dell’ingegneria e mantiene il passo con le minacce emergenti.