Zero-Day en Dell RecoverPoint para Máquinas Virtuais explotado activamente

zero-day vulnerabilidade
Empresas
Administración Pública
0day
Vulnerabilidades
Nivel de alerta
Crítico

Identificouse unha vulnerabilidade crítica de Zero-Day en Dell RecoverPoint for Virtual Machines que está a ser explotada desde, polo menos, mediados de 2024.

A vulnerabilidade, rexistrada como CVE-2026-22769, presenta unha puntuación CVSS 3.1 de 10.0 e permite a atacantes non autenticados obter acceso ao sistema operativo subxacente con privilexios elevados.

A falla ten a súa orixe nunha configuración incorrecta do compoñente Apache Tomcat Manager nos appliances Dell RecoverPoint.

Detectáronse credenciais administrativas por defecto incorporadas no sistema, o que permite:

  • Autenticación non autorizada en Tomcat Manager
  • Subida de ficheiros WAR maliciosos
  • Despregamento de webshells
  • Execución de comandos con privilexios de sistema

Nas campañas observadas, os atacantes despregaron malware como SLAYSTYLE, BRICKSTORM e GRIMBOLT.

Tamén se identificaron técnicas avanzadas de persistencia e evasión, entre elas:

  • Modificación de scripts de arranque
  • Creación de interfaces de rede ocultas
  • Uso de técnicas de ocultación do canal C2
  • Filtrado de tráfico mediante listas de autorización dinámicas

Impacto potencial

  • Compromiso completo do appliance
  • Acceso root persistente
  • Movemento lateral en contornos virtualizados
  • Acceso a infraestrutura crítica
  • Exfiltración de información sensible

Contexto estratéxico

Dell RecoverPoint emprégase en contornos empresariais para replicación e recuperación ante desastres. O seu compromiso pode afectar directamente a infraestruturas de continuidade de negocio e contornos virtualizados críticos.

A explotación activa e a severidade máxima fan que esta vulnerabilidade deba tratarse como incidente prioritario.

 

Medidas urxentes

  • Identificar se a organización utiliza Dell RecoverPoint for Virtual Machines
  • Verificar as versións afectadas
  • Aplicar de inmediato as actualizacións e scripts de remediación publicados polo fabricante
  • Revisar indicadores de compromiso
  • Auditar accesos administrativos e actividade en Tomcat Manager
  • Monitorizar o tráfico cara aos portos asociados ao Servizo

Información relacionada

Ligazóns de interese
NVD Nist