La vulnerabilidad, registrada como CVE-2026-22769, tiene una puntuación CVSS 3.1 de 10.0 y permite a atacantes no autenticados obtener acceso al sistema operativo subyacente con privilegios elevados.
El fallo se origina en una configuración incorrecta del componente Apache Tomcat Manager dentro de los appliances Dell RecoverPoint.
Se detectaron credenciales administrativas por defecto embebidas en el sistema, lo que permite:
- Autenticación no autorizada en Tomcat Manager
- Subida de archivos WAR maliciosos
- Despliegue de webshells
- Ejecución de comandos con privilegios de sistema
En campañas observadas, los atacantes han desplegado malware como SLAYSTYLE, BRICKSTORM y GRIMBOLT.
Además, se han identificado técnicas avanzadas de persistencia y evasión, incluyendo:
- Modificación de scripts de arranque
- Creación de interfaces de red ocultas
- Uso de técnicas de ocultación de canal C2
- Filtrado de tráfico mediante listas de autorización dinámicas
Impacto potencial
- Compromiso completo del appliance
- Acceso root persistente
- Movimiento lateral en entornos virtualizados
- Acceso a infraestructura crítica
- Exfiltración de información sensible
Dell RecoverPoint se utiliza en entornos empresariales para replicación y recuperación ante desastres. Su compromiso puede afectar directamente a infraestructuras de continuidad de negocio y entornos virtualizados críticos.
La explotación activa y la severidad máxima hacen que esta vulnerabilidad deba tratarse como incidente prioritario.
Medidas urgentes
- Identificar si la organización utiliza Dell RecoverPoint for Virtual Machines
- Verificar versiones afectadas
- Aplicar de forma inmediata las actualizaciones y scripts de remediación publicados por el fabricante
- Revisar indicadores de compromiso
- Auditar accesos administrativos y actividad en Tomcat Manager
- Monitorizar tráfico hacia puertos asociados al servicio
