- WIADOMOŚCI
Chiński wywiad przejął wirtualne systemy backupowe Dell
Krytyczna podatność w rozwiązaniu Dell RecoverPoint for Virtual Machines była aktywnie wykorzystywana przez grupę cyberwywiadowczą powiązaną z Chinami. Hakerzy utrzymywali dostęp do systemów przez co najmniej kilkanaście miesięcy.
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use
Podatność (CVE-2026-22769) o maksymalnej ocenie 10.0 w skali CVSS w rozwiązaniu Dell RecoverPoint for Virtual Machines umożliwiała nieautoryzowane przejęcie kontroli nad systemem odpowiedzialnym za replikację i odzyskiwanie danych w środowiskach wirtualnych.
Zgodnie z informacjami opublikowanymi przez Dell Technologies problem wynikał z obecności twardo zakodowanych (ang. hardcoded) poświadczeń w komponencie aplikacyjnym systemu. W praktyce oznaczało to możliwość uzyskania uprzywilejowanego dostępu bez konieczności przejścia procesu uwierzytelniania. Atakujący mogli wykorzystać interfejs zarządzania oparty na Apache Tomcat do wprowadzenia złośliwego pakietu aplikacyjnego, co prowadziło do zdalnego wykonania kodu z uprawnieniami systemowymi.
Patrząc z perspektywy architektury bezpieczeństwa, jest to scenariusz skrajnie niebezpieczny, gdyż RecoverPoint pełni rolę centralnego elementu strategii ciągłości działania i odzyskiwania po awarii. Uzyskanie nad nim kontroli umożliwia manipulację kopiami zapasowymi, ingerencję w proces replikacji oraz potencjalne przygotowanie gruntu pod operacje sabotażowe lub ransomware.
Aktywne wykorzystanie przez grupę powiązaną z Chinami
Według analizy opublikowanej przez Mandiant oraz Google Threat Intelligence Group podatność była wykorzystywana od co najmniej połowy 2024 roku przez grupę identyfikowaną jako UNC6201. Charakter działań wskazuje na operację o profilu wywiadowczym, a nie czysto finansowym.
Hakerzy, po uzyskaniu dostępu wdrażali web shelle oraz niestandardowe narzędzia umożliwiające utrzymanie trwałej obecności w środowisku. W raportach wskazano między innymi na wykorzystanie malware BrickStorm oraz jego nowszej odmiany GrimBolt, które pozwalały na dyskretną komunikację z infrastrukturą command and control (C2). Działania obejmowały również techniki utrudniające detekcję, w tym manipulację konfiguracjami sieci maszyn wirtualnych.
Zobacz też
Rekomendacje i działania naprawcze
Producent zaleca natychmiastową aktualizację do wersji usuwającej podatność oraz przeprowadzenie weryfikacji integralności systemów. Zalecane jest również ograniczenie dostępu do interfejsów zarządzających wyłącznie do sieci administracyjnych, wdrożenie monitoringu logów aplikacyjnych oraz przeprowadzenie analizy pod kątem wskaźników kompromitacji.
Backup powinien być objęty tym samym poziomem segmentacji, monitoringu i kontroli dostępu co systemy produkcyjne.
Zobacz też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?