Eine chinesische Hackergruppe nutzte zwei Jahre lang eine Hart-codierte Anmeldedaten-Schwachstelle in Dells RecoverPoint-Software aus, um sich unbefugt Zugang zu verschaffen und Malware einzuschleusen.
Eine chinesische Hackergruppe hat monatelang eine kritische Sicherheitslücke in einem Dell-Datenschutzprodukt ausgenutzt – mit fatalen Folgen. Google Cloud’s Mandiant-Team deckte jetzt CVE-2026-22769 auf, eine Schwachstelle mit dem höchstmöglichen CVSS-Wert von 10 in Dells RecoverPoint for Virtual Machines. Die Sicherheitsforscher identifizierten den chinesischen Hacker-Cluster UNC6201, der die Lücke seit Mitte 2024 systematisch ausnützt, um in Systeme einzudringen, sich festzusetzen und verschiedene Malware-Varianten einzuschleusen – darunter Slaystyle, Brickstorm und eine neue Hintertür namens Grimbolt.
Grimbolt ist besonders tückisch: Es handelt sich um einen C#-Backdoor, der mittels Native-AOT-Kompilierung erstellt wurde – eine Technik, die das Reverse-Engineering erheblich erschwert. Besonders beunruhigend ist die Natur dieser Sicherheitslücke. Mandiant-Forscher entdeckten während ihrer Analyse Hart-codierte Standard-Anmeldedaten für den Admin-Benutzer in einer Konfigurationsdatei des Apache Tomcat Manager. Diese Zugangsdaten ermöglichten es Angreifern, sich ohne Authentifizierung beim Tomcat Manager anzumelden, bösartige Dateien hochzuladen und schließlich mit Root-Rechten Befehle auf dem System auszuführen.
Das Kernproblem: Die Zugangsdaten waren direkt im Produkt eingebaut und kamen mit jeder Installation. Ein unauthentifizierter Angreifer, der diese Anmeldedaten kannte, konnte damit direkt auf die Systemebene zugreifen und sich dauerhaft festsetzen.
Dell empfiehlt betroffenen Kunden dringend, auf die korrigierte Version RecoverPoint 6.0.3.1 HF1 zu aktualisieren oder ein bereitgestelltes Reparaturskript auszuführen. Das Unternehmen bestätigte nur, dass es Berichte über “begrenzte aktive Ausnutzung” der Lücke erhalten hat.
Wie es zu dieser kritischen Schwachstelle kam, bleibt unklar. Sicherheitsexperten vermuten jedoch, dass es sich um einen klassischen Fall handelt: Ein interner Support-Account, der während der Entwicklung benötigt wurde, aber niemals ordnungsgemäß entfernt oder konfigurierbar gemacht wurde. Solche Hart-codierten Anmeldedaten werden häufig in frühen Entwicklungsphasen eingebaut, um interne Komponenten zu verbinden, werden dann aber vergessen oder sind schwierig zu entfernen, wenn andere Systeme darauf angewiesen sind.
Experten weisen darauf hin, dass Sicherheitstests oft nur auf benutzerfreie Zugangsschnittstellen konzentriert sind, während interne Admin-Seiten und lokale Ports weniger gründlich überprüft werden. Das Problem verschärft sich bei älteren Codebasen zusätzlich, die zudem nur langsam aktualisiert werden.
Hart-codierte Anmeldedaten sind zwar nicht die häufigste Sicherheitslückenart, treten aber regelmäßig auf – besonders wenn Organisationen ihre älteren Code-Bestände nicht ausreichend überprüfen. In der IoT- und Industrieautomation-Branche wurden bereits mehrfach versteckte Standard-Accounts entdeckt.
Quelle: Dark Reading