CVE-2026-22769: Vulnerabilidade Crítica Dell RecoverPoint Dia-Zero Explorada na Selvagem

A SOC Prime cobriu recentemente uma onda de zero-days explorados ativamente em grandes ecossistemas, incluindo o da Apple CVE-2026-20700 e da Microsoft CVE-2026-20805, junto com um novo zero-day do Chrome . Mas a avalanche de ameaças continua avançando em 2026. Recentemente, pesquisadores da Mandiant e do Google Threat Intelligence Group (GTIG) detalharam a exploração ativa do CVE-2026-22769, uma vulnerabilidade de credencial pré-definida de máxima severidade em produtos Dell.

O destaque está no Dell RecoverPoint para Máquinas Virtuais, uma solução de backup e recuperação de desastres focada em VMware, que se tornou alvo de uma campanha zero-day em andamento, atribuída a atividades suspeitas com nexus na China. Rastreado com uma pontuação CVSS de 10.0, o CVE-2026-22769 foi supostamente explorado pelo grupo ligado à China UNC6201 desde pelo menos meados de 2024, permitindo aos atacantes estabelecer acesso e implantar múltiplas famílias de malware, incluindo BRICKSTORM e GRIMBOLT.

A Plataforma SOC Prime ajuda as equipes de segurança a fechar a lacuna entre “um CVE foi divulgado” e “temos inteligência de detecção”. Inscreva-se agora para acessar o maior conjunto de dados de inteligência de detecção do mundo, apoiado por soluções avançadas para levar seu SOC para o próximo nível. Clique em Explorar Detecções para acessar conteúdo de detecção focado em vulnerabilidades pré-filtrado pela tag “CVE”.

Explorar Detecções

Todas as regras são compatíveis com dezenas de formatos SIEM, EDR e Data Lake e mapeadas para MITRE ATT&CK®. Além disso, cada regra é enriquecida com metadados extensivos, incluindo referências CTI, visualização do Fluxo de Ataque, recomendações de triagem, configurações de auditoria e mais.

As equipes de segurança também podem aproveitar Uncoder AI para acelerar a engenharia de detecção end-para-fim ao gerar regras diretamente de relatórios de ameaças ao vivo, refinando e validando a lógica de detecção, convertendo IOCs em consultas de caça personalizadas e traduzindo instantaneamente código de detecção entre diversos formatos de linguagem.

Análise do CVE-2026-22769

Em seu comunicado de 17 de fevereiro de 2026, a Dell descreve o CVE-2026-22769 como uma vulnerabilidade de credencial pré-definida no RecoverPoint para Máquinas Virtuais antes da versão 6.0.3.1 HF1, e lhe atribui a classificação de maior severidade. A Dell alerta que um invasor remoto não autenticado que conheça a credencial pré-definida poderia se apropriar do acesso não autorizado ao sistema operacional subjacente e até mesmo estabelecer persistência em nível de root.

A investigação do GTIG e da Mandiant adiciona o detalhe operacional por trás desse impacto. Especialistas em segurança observaram atividade contra o gerenciador Apache Tomcat do dispositivo, incluindo requisições web usando o nome de usuário admin que resultaram na implantação de um arquivo WAR malicioso contendo o web shell SLAYSTYLE. Os pesquisadores então rastrearam isso de volta para as credenciais padrão hardcoded para o usuário admin na configuração do gerenciador Tomcat em /home/kos/tomcat9/tomcat-users.xml. Usando essas credenciais, um atacante poderia autenticar-se no Gerenciador Tomcat e implantar um WAR através do /manager/text/deploy endpoint, levando à execução de comandos como root no dispositivo.

Avalia-se que o grupo UNC6201 utilizou essa brecha para movimentação lateral, persistência e implantação de malware, com a exploração mais antiga identificada datando de meados de 2024. O vetor de acesso inicial não foi confirmado nesses casos, mas o GTIG observa que o UNC6201 é conhecido por atacar dispositivos de borda como ponto de entrada.

As ferramentas pós-comprometimento também evoluíram ao longo do tempo. A Mandiant relata ter encontrado binários BRICKSTORM e posteriormente observado uma substituição por GRIMBOLT em setembro de 2025. GRIMBOLT é descrito como um backdoor C# compilado usando compilação antecipada nativa (AOT) e empacotado com UPX, proporcionando capacidade de shell remoto enquanto usa o mesmo C2 que o BRICKSTORM. Os pesquisadores observam que não está claro se a troca foi uma atualização planejada ou uma resposta à pressão da resposta a incidentes.

A atividade não se restringiu ao dispositivo RecoverPoint. A Mandiant relata que o UNC6201 aprofundou-se nos ambientes virtualizados das vítimas criando portas de rede virtuais temporárias em servidores VMware ESXi, efetivamente ativando conectividade de rede oculta, comumente referida como “NICs Fantasmas”. Esta técnica permitiu que os atacantes se movessem silenciosamente de VMs comprometidas para redes internas mais amplas e, em alguns casos, em direção a ambientes SaaS.

Os pesquisadores também relatam sobreposições entre o UNC6201 e outro agrupamento com nexus na China rastreado como UNC5221, conhecido por explorar zero-days da Ivanti e anteriormente vinculado em relatórios ao Silk Typhoon, embora o GTIG observe que esses agrupamentos não são considerados idênticos.

Mitigação do CVE-2026-22769

A orientação de remediação da Dell é clara, mas requer acompanhamento. Para a linha 6.x, a Dell aponta os clientes para atualizar para 6.0.3.1 HF1 ou aplicar o script de remediação do fornecedor referenciado no comunicado, e também fornece caminhos de migração/atualização para builds de pacotes de serviço 5.3 afetados.

Para fortalecer a cobertura além da aplicação de patches, confie na Plataforma SOC Prime para acessar o maior conjunto de dados de inteligência de detecção do mundo, adotar um pipeline de ponta a ponta que abrange desde a detecção até a simulação enquanto agiliza as operações de segurança e acelera os fluxos de trabalho de resposta, reduzindo a sobrecarga de engenharia e mantendo-se à frente das ameaças emergentes.