Un groupe de hackers chinois exploite depuis la mi-2024 un bug inédit dans Dell RecoverPoint for VMs.
Des chercheurs en sécurité ont identifié une exploitation active d’une vulnérabilité critique dans Dell RecoverPoint for Virtual Machines. Les attaquants utilisent cette faille, enregistrée sous la référence CVE-2026-22769, pour obtenir un accès non autorisé aux environnements de sauvegarde et, de là, progresser davantage dans le réseau.
Dell a désormais publié des mises à jour de sécurité pour ce bug critique. Celui-ci affiche un score CVSS parfait de 10. L’installation des mises à jour doit être une priorité absolue, car des hackers exploitent activement cette faille.
Selon des chercheurs de Mandiant et de Google Threat Intelligence, la vulnérabilité est exploitée depuis la mi-2024 par un groupe chinois qu’ils désignent sous le nom d’UNC6201. La faille se situe dans un composant de gestion de Dell RecoverPoint et permet de télécharger des fichiers malveillants à l’aide d’identifiants par défaut. Cela permet aux attaquants d’exécuter des commandes avec des privilèges système étendus.
Accès étendu
Les organisations utilisant Dell RecoverPoint for Virtual Machines sont exposées à ce risque. Ce produit est déployé pour la protection des données dans les environnements VMware. Lorsqu’un attaquant compromet la solution, il accède potentiellement aux machines virtuelles et à l’infrastructure sous-jacente.
Le groupe installe des portes dérobées telles que Brickstorm et une variante plus récente, Grimbolt. Celles-ci permettent aux attaquants de maintenir un accès à long terme. Ils modifient également les scripts système afin que le malware démarre automatiquement après un redémarrage. Dans plusieurs cas, les attaquants se sont ensuite déplacés vers des environnements VMware, où ils ont créé des accès réseau supplémentaires pour effectuer des déplacements latéraux sans être détectés.
Cibles
Les entreprises disposant d’un environnement VMware sur site et de Dell RecoverPoint sont vulnérables, en particulier si les interfaces de gestion sont accessibles directement ou indirectement via le réseau. Les organisations exposant des appareils de bord (tels que des concentrateurs VPN) constituent également une cible potentielle.
Les équipes de sécurité feraient bien de vérifier si les mises à jour de sécurité ont été déployées. En outre, il est recommandé de contrôler les fichiers journaux de RecoverPoint pour détecter des actions de gestion suspectes et des téléchargements de fichiers inhabituels. Étant donné que la solution joue un rôle central dans la protection des données, une intrusion peut avoir un impact majeur sur la disponibilité et la confidentialité des données de l’entreprise.