Mandiant von Google Cloud hat die Schwachstelle CVE-2026-22769 in Dell RecoverPoint for Virtual Machines öffentlich gemacht. Das mutmaßlich China-nahe Angriffscluster UNC6201 soll die Lücke seit mindestens Mitte 2024 ausgenutzt haben, um sich seitlich durch Netzwerke zu bewegen, dauerhaften Zugang zu erhalten und Schadsoftware zu verteilen. Genannt werden Slaystyle, Brickstorm sowie eine bislang unbekannte Hintertür, die unter dem Namen Grimbolt geführt wird.
Grimbolt sticht laut Mandiant-Technikchef Charles Carmakal heraus: Es handle sich um eine in C# geschriebene Hintertür, die mittels nativer Ahead-of-Time-Kompilierung (AOT) erzeugt wurde, was das Reverse Engineering erschwere. Die Angreifer kompromittierten damit Dell-Appliances und wechselten in einigen Fällen weiter auf VMware-Virtualisierungsinfrastruktur. Zu den Motiven äußerte sich Google nicht ausführlich; UNC6201 ist Mandiant zufolge in der Vergangenheit für Cyberspionage bekannt geworden.
Besonders brisant ist die Natur der Lücke selbst. Bei der Analyse kompromittierter Appliances stießen die Forscher auf Web-Anfragen mit dem Benutzernamen “admin” an den installierten Apache Tomcat Manager, der in RecoverPoint zur Bereitstellung mehrerer Komponenten dient. In den Konfigurationsdateien fand Mandiant einen Satz fest codierter Standard-Zugangsdaten für den Admin-Benutzer in der Datei /home/kos/tomcat9/tomcat-users.xml. Mit diesen Daten ließ sich beim Tomcat Manager authentifizieren, über den Endpunkt /manager/text/deploy eine bösartige WAR-Datei hochladen und anschließend Befehle als Root auf der Appliance ausführen.
Laut Dells Sicherheitshinweis ist die Lücke so gefährlich, weil ein nicht authentifizierter Angreifer aus der Ferne, der die fest codierten Zugangsdaten kennt, unberechtigten Zugriff auf das zugrunde liegende Betriebssystem und dauerhafte Präsenz mit Root-Rechten erlangen könne. Der Hersteller rät betroffenen Kunden dringend, auf die korrigierte Version RecoverPoint for Virtual Machines 6.0.3.1 HF1 umzusteigen oder ein im Hinweis beschriebenes Bereinigungsskript auszuführen.
Weder Dell noch die Forscher haben erklärt, wie oder warum die Zugangsdaten im Produkt verblieben; auf Basis von Mandiants Untersuchung könnte ein Konfigurationsversehen dahinterstehen. Ein Dell-Sprecher lehnte eine inhaltliche Stellungnahme ab, erklärte aber, man habe einen Bericht über begrenzte aktive Ausnutzung erhalten.
Mayuresh Dani, Manager für Sicherheitsforschung bei Qualys, sieht in CVE-2026-22769 einen klassischen Fall eines internen oder Support-Kontos, das nie ordentlich entfernt oder konfigurierbar gemacht worden sei. Fest codierte oder Standard-Konten würden oft genutzt, um interne Komponenten in der frühen Entwicklung zu verbinden, und später vergessen oder seien nur schwer wieder zu lösen. Zudem konzentriere sich das Sicherheitstesten häufig auf die kundenseitigen Anmeldevorgänge, während interne Admin-Endpunkte wie der Tomcat Manager weniger Prüfung erhielten – ein Problem, das sich in älteren Codebasen verschärfe.
Fest codierte Zugangsdaten zählen laut dem Bericht nicht zu den häufigsten Schwachstellentypen, tauchen aber regelmäßig auf. Martin Jartelius, KI-Produktdirektor bei Outpost24, verweist auf Fälle im IoT- und OT-Umfeld mit versteckten Standard-Konten: Je länger eine Codebasis existiere, desto wahrscheinlicher trete das Problem auf.
