Detectan explotación activa de vulnerabilidad crítica "Zero-Day" en Dell RecoverPoint for VMs

Investigadores de seguridad de Mandiant y el Grupo de Inteligencia de Amenazas de Google (GTIG) han revelado el descubrimiento de una vulnerabilidad crítica de "día cero" (zero-day) en la solución de recuperación de desastres Dell RecoverPoint for Virtual Machines (VMs). La falla, identificada como CVE-2026-22769, ha sido calificada con la máxima severidad de 10.0 en la escala CVSS, lo que indica un riesgo extremo para las infraestructuras virtualizadas.

El origen del riesgo: Credenciales embebidas

Según el aviso de seguridad emitido por Dell, la vulnerabilidad reside en el uso de credenciales fijas (hardcoded) dentro del sistema. Este error de diseño permite que un atacante remoto no autenticado, con conocimiento de dichas credenciales, obtenga acceso directo al sistema operativo subyacente de la aplicación.

El impacto es crítico: una vez dentro, los atacantes pueden alcanzar persistencia a nivel de root, lo que les otorga control total sobre el dispositivo virtual y, potencialmente, sobre los flujos de datos de respaldo y replicación que gestiona la herramienta.

Explotación silenciosa por actores estatales

El informe técnico de Mandiant destaca que esta vulnerabilidad no es solo teórica. Se ha confirmado que un grupo de amenazas vinculado a intereses de la República Popular China, rastreado como UNC6201, ha estado explotando este fallo desde mediados de 2024.

Durante las investigaciones de respuesta a incidentes, se detectó que el grupo utilizó la falla para:

• Movimiento lateral: Desplazarse desde el appliance de Dell hacia otras áreas críticas de la red corporativa.

• Despliegue de malware: Instalación de backdoors avanzados como SLAYSTYLE, BRICKSTORM y una nueva variante denominada GRIMBOLT.

• Creación de "Ghost NICs": El grupo configuró interfaces de red temporales en máquinas virtuales alojadas en servidores ESXi para pivotar hacia infraestructuras internas y servicios SaaS de las víctimas.

Sistemas afectados y medidas de mitigación

Dell ha confirmado que las versiones de RecoverPoint for Virtual Machines anteriores a la 6.0.3.1 HF1 son vulnerables. Debido a la gravedad del hallazgo y a la evidencia de ataques en curso contra organizaciones seleccionadas, el fabricante insta a los administradores de sistemas a aplicar de inmediato la actualización de seguridad.

Recomendaciones para empresas:

1. Actualización inmediata: Migrar a la versión 6.0.3.1 HF1 o superior de forma urgente.

2. Auditoría de red: Revisar la creación de puertos de red inusuales en entornos VMware y la presencia de scripts modificados (como convert_hosts.sh) que puedan indicar persistencia.

3. Aislamiento: Fortalecer el endurecimiento (hardening) de los dispositivos de borde y limitar el acceso administrativo a las consolas de RecoverPoint únicamente a redes seguras y autorizadas.

Hasta el momento, se tiene conocimiento de menos de una docena de organizaciones impactadas a nivel global, aunque los analistas advierten que el alcance podría ser mayor a medida que se profundice en la telemetría de red de los sectores afectados.