Uma falha crítica em um software de backup da Dell está sendo ativamente explorada por um grupo de hackers ligado à China, oferecendo a criminosos acesso irrestrito a sistemas operacionais e controle de servidores VMware ESXi. A vulnerabilidade, identificada como CVE-2026-22769, foi estudada por pesquisadores de segurança da Mandiant em conjunto com o Grupo de Inteligência de Ameaças da Google (CTIG), com ataques documentados desde meados de 2024.
Vulnerabilidade em Foco: Dell RecoverPoint sob Ataque
O problema reside especificamente no Dell RecoverPoint para Máquinas Virtuais, uma solução essencial para backup e recuperação de máquinas virtuais VMware. A falha está relacionada a credenciais hardcoded, ou seja, incluídas no código sem a devida criptografia, facilitando o acesso não autorizado. A Dell confirmou a vulnerabilidade em um comunicado recente, alertando que todas as versões anteriores à 6.0.3.1 HF1 são suscetíveis a esse tipo de exploração.
Risco de Acesso Root e Servidores VMware ESXi Comprometidos
De acordo com a Dell, um atacante remoto que consiga obter as credenciais hardcoded pode alcançar acesso não autorizado ao sistema operacional e, mais gravemente, garantir persistência a nível de root. Isso significa que os criminosos podem obter controle total sobre os servidores VMware ESXi comprometidos, representando um risco significativo para a infraestrutura das empresas e organizações que utilizam o software vulnerável. A empresa recomenda a atualização imediata do software ou a aplicação das soluções alternativas descritas em seu comunicado de segurança.
Novos Malwares e Táticas Furtivas do UNC6201
O grupo de hackers responsável pelos ataques, conhecido como UNC6201, tem sido particularmente sofisticado em suas táticas. Eles entregam diversos payloads maliciosos, incluindo um novo backdoor chamado Grimbolt, escrito em C#. Este malware é uma evolução mais rápida e difícil de analisar do Brickstorm, anteriormente associado a ataques a empresas de manufatura nos Estados Unidos. Além disso, os cibercriminosos utilizam técnicas inovadoras, como a criação de interfaces de rede escondidas (Ghost NICs) em servidores VMware ESXi, para manter a furtividade e evitar a detecção na rede da vítima.
Conexões com Outros Grupos Chineses e Alvos Estratégicos
Os pesquisadores notaram ligações entre o UNC6201 e outros grupos de hackers chineses, como o UNC5221, conhecido por explorar vulnerabilidades zero-day em produtos Ivanti. O UNC5221 tem como alvo principal agências governamentais, utilizando malwares como Spawnant e Zipline. Segundo o GTIG, esses hackers atacaram diversos setores legais e tecnológicos nos Estados Unidos, demonstrando um padrão de ataques direcionados e de alto impacto. A colaboração entre os grupos e a troca de táticas e ferramentas elevam o nível de ameaça para organizações em todo o mundo.
Fonte: canaltech.com.br