Dell waarschuwt voor kritiek lek al bijna 2 jaar gebruikt bij aanvallen

[Captain Kirk]

Dell waarschuwt organisaties voor een kritieke kwetsbaarheid die al bijna twee jaar lang gebruikt is bij aanvallen voordat een patch beschikbaar was. De impact van het beveiligingslek in Dell RecoverPoint for Virtual Machines is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Via RecoverPoint for Virtual Machines kunnen beheerders hun VMware virtual machines herstellen. Het is een softwarematige oplossing die vooral is bedoeld voor back-up en disaster recovery. De software wordt geïnstalleerd op VMware ESXi-servers.

De kwetsbaarheid, aangeduid als CVE-2026-22769, betreft de aanwezigheid van hardcoded inloggegevens. Een ongeauthenticeerde aanvaller kan hiermee met 'root-level persistence' op afstand toegang tot het onderliggende besturingssysteem van de server krijgen, zo laat de omschrijving van Dell weten. Volgens Google maakt een groep aanvallers genaamd UNC6201 al zeker sinds halverwege 2024 misbruik van dit beveiligingslek.

De aanvallers gebruikten het beveiligingslek om commando's als root op de onderliggende appliance uit te voeren, aldus Google. Bij de aanvallen installeren de aanvallers webshells en backdoors om toegang tot het gecompromitteerde systeem te behouden. Ook maken ze tijdelijke nieuwe netwerkpoorten op bestaande virtual machines aan die op een ESXI-server draaien. Via deze netwerkpoorten bewegen de aanvallers zich naar verschillende interne en software-as-a-service (SaaS) omgevingen waar de aangevallen organisaties gebruik van maken.

Google heeft Indicators of Compromise (IOC's) gedeeld waarmee organisaties kunnen controleren of hun systemen via het Dell-lek zijn gehackt. Dell roept organisaties op om de beschikbaar gestelde update voor CVE-2026-22769 zo snel mogelijk te installeren. Hoeveel organisaties via de kwetsbaarheid zijn aangevallen is onbekend.

 

bron: https://www.security.nl