Специалисты Google Mandiant и Google Threat Intelligence Group (GTIG) раскрыли детали критической уязвимости CVE-2026-22769, получившей максимальную оценку опасности CVSS 10.0. Проблема кроется в жестко закодированных учетных данных пользователя "admin" для экземпляра Apache Tomcat Manager, встроенного в программное обеспечение Dell RecoverPoint for Virtual Machines. Этот недостаток позволяет удаленным неаутентифицированным злоумышленникам авторизоваться в системе управления, получить несанкционированный доступ к базовой операционной системе и закрепиться с правами суперпользователя (root). Уязвимость активно эксплуатируется как угроза нулевого дня, затрагивая версии продукта до 6.0.3.1 HF1, при этом редакция RecoverPoint Classic и другие продукты компании остаются безопасными.
Технический анализ атаки показывает, что после первоначального проникновения хакеры загружают веб-шелл SLAYSTYLE через конечную точку "/manager/text/deploy". Это действие открывает путь для развертывания бэкдора BRICKSTORM, который выполняется с правами root. Злоумышленники также используют обновленную версию этого бэкдора под названием GRIMBOLT. Данный вредонос, написанный на языке C, использует нативную компиляцию ahead-of-time (AOT), что существенно затрудняет его реверс-инжиниринг. GRIMBOLT обладает возможностями удаленной оболочки, использует ту же инфраструктуру управления (Command-and-Control), что и BRICKSTORM, и маскируется под системные файлы для минимизации криминалистических следов.
Основной группой, стоящей за эксплуатацией данной уязвимости, назван кластер UNC6201, предположительно связанный с Китаем. Исследователи отмечают пересечение активности этой группы с кластером UNC5221, известным своим кибершпионажем и эксплуатацией уязвимостей нулевого дня в продуктах Ivanti и виртуализации. Несмотря на схожесть инструментария, включая использование вредоносных программ BEEFLUSH и ZIPLINE, аналитики классифицируют их как разные структуры. Кроме того, прослеживается связь с группировкой Warp Panda, отслеживаемой компанией CrowdStrike, которая использовала BRICKSTORM в атаках на американские организации.
Экосистема угрозы включает в себя разделение ролей между различными акторами. Брокер первоначального доступа, известный как Sylvanite, специализируется на превращении уязвимостей пограничных устройств в оружие до выхода исправлений, после чего передает доступ другим группам. Непосредственное вторжение в операционные технологии (OT) осуществляет актор Voltzite. Эта группа выходит за рамки простой кражи данных, стремясь к прямым манипуляциям с инженерными рабочими станциями, исследуя способы остановки критических процессов.
Тактика злоумышленников (TTPs) отличается высокой сложностью и скрытностью. Атаки нацелены на организации в Северной Америке, использующие виртуализацию, а также на среды OT. Для перемещения внутри сети хакеры создают временные виртуальные сетевые интерфейсы, называемые "Ghost NICs", которые позволяют переходить от скомпрометированных виртуальных машин во внутренние сети или среды SaaS. Для сокрытия следов эти интерфейсы удаляются, а атаки фокусируются на устройствах, где отсутствуют агенты EDR (Endpoint Detection and Response). В отчете Dragos также упоминается использование сотовых шлюзов для создания несанкционированных каналов в OT-сети в обход традиционных средств защиты.
Хронология инцидента указывает на начало эксплуатации уязвимости с середины 2024 года. В отчете, опубликованном изданием The Hacker News во вторник, упоминается конкретная активность, датированная июлем 2025 года. Чарльз Кармакал из Mandiant подчеркивает серьезность угрозы, учитывая уровень доступа, который получают атакующие. Использование скомпрометированных пограничных устройств позволяет злоумышленникам обходить периметральную защиту и действовать глубоко внутри корпоративных сетей.
Для устранения угрозы Dell выпустила четкие инструкции по обновлению. Пользователям версий 6.0, 6.0 SP1–SP3 P1 необходимо немедленно обновиться до версии 6.0.3.1 HF1. Для систем, работающих на версии 5.3 SP4 P1, требуется миграция на 6.0 SP3 с последующим обновлением до целевой исправленной версии. Тем, кто использует более старые версии (5.3 SP4, 5.3 SP3 и ранее), предписано обновиться до 5.3 SP4 P1 или перейти на линейку 6.x, а затем применить финальный патч.
Помимо установки обновлений, производитель настоятельно рекомендует развертывать RecoverPoint for Virtual Machines исключительно в доверенной внутренней сети с контролем доступа. Использование соответствующих межсетевых экранов и сегментация сети являются обязательными мерами, так как продукт не предназначен для работы в ненадежных или общедоступных сетях. Соблюдение этих рекомендаций критически важно для предотвращения получения злоумышленниками root-доступа и дальнейшего распространения атаки на критическую инфраструктуру.
Изображение носит иллюстративный характер
Технический анализ атаки показывает, что после первоначального проникновения хакеры загружают веб-шелл SLAYSTYLE через конечную точку "/manager/text/deploy". Это действие открывает путь для развертывания бэкдора BRICKSTORM, который выполняется с правами root. Злоумышленники также используют обновленную версию этого бэкдора под названием GRIMBOLT. Данный вредонос, написанный на языке C, использует нативную компиляцию ahead-of-time (AOT), что существенно затрудняет его реверс-инжиниринг. GRIMBOLT обладает возможностями удаленной оболочки, использует ту же инфраструктуру управления (Command-and-Control), что и BRICKSTORM, и маскируется под системные файлы для минимизации криминалистических следов.
Основной группой, стоящей за эксплуатацией данной уязвимости, назван кластер UNC6201, предположительно связанный с Китаем. Исследователи отмечают пересечение активности этой группы с кластером UNC5221, известным своим кибершпионажем и эксплуатацией уязвимостей нулевого дня в продуктах Ivanti и виртуализации. Несмотря на схожесть инструментария, включая использование вредоносных программ BEEFLUSH и ZIPLINE, аналитики классифицируют их как разные структуры. Кроме того, прослеживается связь с группировкой Warp Panda, отслеживаемой компанией CrowdStrike, которая использовала BRICKSTORM в атаках на американские организации.
Экосистема угрозы включает в себя разделение ролей между различными акторами. Брокер первоначального доступа, известный как Sylvanite, специализируется на превращении уязвимостей пограничных устройств в оружие до выхода исправлений, после чего передает доступ другим группам. Непосредственное вторжение в операционные технологии (OT) осуществляет актор Voltzite. Эта группа выходит за рамки простой кражи данных, стремясь к прямым манипуляциям с инженерными рабочими станциями, исследуя способы остановки критических процессов.
Тактика злоумышленников (TTPs) отличается высокой сложностью и скрытностью. Атаки нацелены на организации в Северной Америке, использующие виртуализацию, а также на среды OT. Для перемещения внутри сети хакеры создают временные виртуальные сетевые интерфейсы, называемые "Ghost NICs", которые позволяют переходить от скомпрометированных виртуальных машин во внутренние сети или среды SaaS. Для сокрытия следов эти интерфейсы удаляются, а атаки фокусируются на устройствах, где отсутствуют агенты EDR (Endpoint Detection and Response). В отчете Dragos также упоминается использование сотовых шлюзов для создания несанкционированных каналов в OT-сети в обход традиционных средств защиты.
Хронология инцидента указывает на начало эксплуатации уязвимости с середины 2024 года. В отчете, опубликованном изданием The Hacker News во вторник, упоминается конкретная активность, датированная июлем 2025 года. Чарльз Кармакал из Mandiant подчеркивает серьезность угрозы, учитывая уровень доступа, который получают атакующие. Использование скомпрометированных пограничных устройств позволяет злоумышленникам обходить периметральную защиту и действовать глубоко внутри корпоративных сетей.
Для устранения угрозы Dell выпустила четкие инструкции по обновлению. Пользователям версий 6.0, 6.0 SP1–SP3 P1 необходимо немедленно обновиться до версии 6.0.3.1 HF1. Для систем, работающих на версии 5.3 SP4 P1, требуется миграция на 6.0 SP3 с последующим обновлением до целевой исправленной версии. Тем, кто использует более старые версии (5.3 SP4, 5.3 SP3 и ранее), предписано обновиться до 5.3 SP4 P1 или перейти на линейку 6.x, а затем применить финальный патч.
Помимо установки обновлений, производитель настоятельно рекомендует развертывать RecoverPoint for Virtual Machines исключительно в доверенной внутренней сети с контролем доступа. Использование соответствующих межсетевых экранов и сегментация сети являются обязательными мерами, так как продукт не предназначен для работы в ненадежных или общедоступных сетях. Соблюдение этих рекомендаций критически важно для предотвращения получения злоумышленниками root-доступа и дальнейшего распространения атаки на критическую инфраструктуру.
