Blog Blog

CVE-2026-22769 (Dell RecoverPoint)

February 19, 2026
Nestor Martin Guerra Garcia (Dr.Plaga)
Noticias
CVE-2026-22769 (Dell RecoverPoint)

Resumen ejecutivo (CEO)

Una falla crítica (CVSS 10) en Dell RecoverPoint for Virtual Machines permite compromiso remoto por credenciales hardcodeadas y puede terminar en persistencia root. Google (Mandiant/GTIG) reporta explotación asociada a UNC6201, con despliegue de backdoors y tácticas específicas para pivotar dentro de infra VMware. Dell publicó mitigaciones y upgrades; además, se reporta como explotada en la vida real.

Qué pasó

  • CVE-2026-22769 afecta a RecoverPoint for Virtual Machines (versiones previas a 6.0.3.1 HF1) por uso de credenciales hardcodeadas (CWE-798).
  • Investigaciones de Mandiant/Google describen explotación en incidentes reales y actividad con C2 asociada a backdoors (BRICKSTORM/GRIMBOLT).
  • En paralelo, un advisory gubernamental (Canadá) indica explotación “in the wild” y menciona su incorporación al catálogo KEV de CISA (la web de CISA está bloqueando acceso desde acá, pero la referencia queda).

Por qué importa (impacto real)

  • Es una puerta directa a appliances que suelen estar “bien adentro” del datacenter.
  • El vector permite acceso no autenticado (con conocimiento de esa credencial hardcodeada), escalando a persistencia root en el OS subyacente.
  • Mandiant describe tácticas nuevas para moverse dentro de infraestructura VMware, como creación de “Ghost NICs” para pivot y uso de iptables para Single Packet Authorization.

Detalles técnicos (sin humo)

  • Tipo: credencial hardcodeada (CWE-798).
  • Severidad: Dell (CNA) marca CVSS 10.0.
  • Tradecraft observado: reemplazo de backdoor BRICKSTORM por GRIMBOLT (reportado en 2025-09) y técnicas de pivot hacia VMware.

Afectados (según Dell)

Dell lista afectación en ramas 5.3 y 6.0, con recomendaciones explícitas de upgrade/remediación.

Qué hacer ahora (prioridad 0)

1) Patch/upgrade ya
Dell indica como camino principal upgrade a 6.0.3.1 HF1 o ejecución del script de remediación según el caso.

2) Aislar el appliance
Dell recomienda que RecoverPoint for VMs esté en red interna confiable y segmentada, no expuesto a redes no confiables.

3) Hunting inmediato
Si usás RecoverPoint for VMs, asumí que puede haber movimiento lateral y persistencia (sobre todo si el appliance tenía alcance hacia management de virtualización). Contexto y TTPs detallados por Mandiant/GTIG.

Detección (pistas útiles)

  • Revisión de actividad anómala sobre el appliance (accesos/requests raros previos a compromiso). Mandiant menciona investigación con requests y usuario “admin” en el marco del análisis del CVE.
  • Señales de pivot dentro de VMware (interfaces temporales, cambios de iptables, nuevos caminos de red).

Lo que NO sabemos (y no voy a inventar)

  • Cantidad exacta de organizaciones afectadas: no está publicado en el detalle técnico abierto que citamos.

Hashtags:
#DrPlaga.sh #CVE #ZeroDay #Dell #RecoverPoint #VMware #IncidentResponse #ThreatIntel #HardcodedCredentials #CyberSecurityResumen ejecutivo (CEO)

Una falla crítica (CVSS 10) en Dell RecoverPoint for Virtual Machines permite compromiso remoto por credenciales hardcodeadas y puede terminar en persistencia root. Google (Mandiant/GTIG) reporta explotación asociada a UNC6201, con despliegue de backdoors y tácticas específicas para pivotar dentro de infra VMware. Dell publicó mitigaciones y upgrades; además, se reporta como explotada en la vida real.

Qué pasó

  • CVE-2026-22769 afecta a RecoverPoint for Virtual Machines (versiones previas a 6.0.3.1 HF1) por uso de credenciales hardcodeadas (CWE-798).
  • Investigaciones de Mandiant/Google describen explotación en incidentes reales y actividad con C2 asociada a backdoors (BRICKSTORM/GRIMBOLT).
  • En paralelo, un advisory gubernamental (Canadá) indica explotación “in the wild” y menciona su incorporación al catálogo KEV de CISA (la web de CISA está bloqueando acceso desde acá, pero la referencia queda).

Por qué importa (impacto real)

  • Es una puerta directa a appliances que suelen estar “bien adentro” del datacenter.
  • El vector permite acceso no autenticado (con conocimiento de esa credencial hardcodeada), escalando a persistencia root en el OS subyacente.
  • Mandiant describe tácticas nuevas para moverse dentro de infraestructura VMware, como creación de “Ghost NICs” para pivot y uso de iptables para Single Packet Authorization.

Detalles técnicos (sin humo)

  • Tipo: credencial hardcodeada (CWE-798).
  • Severidad: Dell (CNA) marca CVSS 10.0.
  • Tradecraft observado: reemplazo de backdoor BRICKSTORM por GRIMBOLT (reportado en 2025-09) y técnicas de pivot hacia VMware.

Afectados (según Dell)

Dell lista afectación en ramas 5.3 y 6.0, con recomendaciones explícitas de upgrade/remediación.

Qué hacer ahora (prioridad 0)

1) Patch/upgrade ya
Dell indica como camino principal upgrade a 6.0.3.1 HF1 o ejecución del script de remediación según el caso.

2) Aislar el appliance
Dell recomienda que RecoverPoint for VMs esté en red interna confiable y segmentada, no expuesto a redes no confiables.

3) Hunting inmediato
Si usás RecoverPoint for VMs, asumí que puede haber movimiento lateral y persistencia (sobre todo si el appliance tenía alcance hacia management de virtualización). Contexto y TTPs detallados por Mandiant/GTIG.

Detección (pistas útiles)

  • Revisión de actividad anómala sobre el appliance (accesos/requests raros previos a compromiso). Mandiant menciona investigación con requests y usuario “admin” en el marco del análisis del CVE.
  • Señales de pivot dentro de VMware (interfaces temporales, cambios de iptables, nuevos caminos de red).

Lo que NO sabemos (y no voy a inventar)

  • Cantidad exacta de organizaciones afectadas: no está publicado en el detalle técnico abierto que citamos.


#DrPlaga.sh #CVE #ZeroDay #Dell #RecoverPoint #VMware #IncidentResponse #ThreatIntel #HardcodedCredentials #CyberSecurity

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog