Pesquisadores de segurança da Mandiant, em colaboração com o Grupo de Inteligência de Ameaças da Google (CTIG), investigaram uma falha crítica na Dell que tem sido explorada desde meados de 2024. O grupo UNC6201, vinculado à China, está utilizando a vulnerabilidade CVE-2026-22769, que se relaciona a credenciais hardcoded.
A vulnerabilidade afeta especificamente o Dell RecoverPoint para Máquinas Virtuais, uma solução amplamente utilizada para backup e recuperação de máquinas virtuais VMware. De acordo com a Dell, todas as versões anteriores à 6.0.3.1 HF1 são vulneráveis.
Risco para Servidores VMware
A Dell alertou que qualquer atacante remoto que possua essas credenciais hardcoded pode obter acesso não autorizado ao sistema operacional, garantindo persistência a nível root. A empresa recomenda que os usuários atualizem o software ou adotem outras soluções descritas em seu comunicado, emitido em 17 de outubro de 2024.
Atividades dos Hackers
Os hackers do UNC6201 estão utilizando um novo malware de backdoor chamado Grimbolt, que é escrito em C# e é considerado um sucessor mais rápido e difícil de analisar da backdoor Brickstorm. Para invadir as infraestruturas das vítimas, os cibercriminosos também aplicam técnicas novas, como a criação de interfaces de rede escondidas, conhecidas como Ghost NICs, em servidores VMware ESXi, para manter a furtividade na rede.
Pesquisadores notaram que há ligações entre o grupo UNC6201 e outros hackers chineses, como o UNC5221, que são conhecidos por explorar vulnerabilidades zero-day, como as do Ivanti. Esses hackers têm atacado setores legais e tecnológicos nos Estados Unidos, utilizando malwares como Spawnant e Zipline.
Implicações para a Segurança
A situação é alarmante, pois o uso de técnicas sofisticadas e malwares avançados pode comprometer a segurança de muitas organizações. A Dell e os especialistas em segurança recomendam que as empresas afetadas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.
Opinião
A descoberta dessa vulnerabilidade ressalta a importância de manter sistemas atualizados e a necessidade de vigilância constante contra ameaças cibernéticas.
