📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade de segurança de gravidade máxima no Dell RecoverPoint for Virtual Machines foi explorada como dia zero por um suposto cluster de ameaça do nexo da China denominado UNC6201 desde meados de 2024, de acordo com um novo relatório do Google Mandiant e Google Threat Intelligence Group (GTIG).
A atividade envolve a exploração de CVE-2026-22769 (pontuação CVSS: 10,0), um caso de credenciais codificadas que afetam versões anteriores a 6.0.3.1 HF1. Outros produtos, incluindo o RecoverPoint Classic, não são vulneráveis à falha.
“Isso é considerado crítico, pois um invasor remoto não autenticado com conhecimento da credencial codificada poderia potencialmente explorar esta vulnerabilidade, levando ao acesso não autorizado ao sistema operacional subjacente e à persistência no nível raiz”, disse Dell em um boletim divulgado terça-feira.
O problema afeta os seguintes produtos -
RecoverPoint for Virtual Machines versão 5.3 SP4 P1 – Migre do RecoverPoint for Virtual Machines 5.3 SP4 P1 para 6.0 SP3 e, em seguida, atualize para 6.0.3.1 HF1
RecoverPoint for Virtual Machines versões 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 e 6.0 SP3 P1 – Atualize para 6.0.3.1 HF1
RecoverPoint for Virtual Machines versões 5.3 SP4, 5.3 SP3, 5.3 SP2 e anteriores – atualize para a versão 5.3 SP4 P1 ou 6.x e aplique a correção necessária
“A Dell recomenda que o RecoverPoint for Virtual Machines seja implantado em uma rede interna confiável e com acesso controlado, protegida por firewalls apropriados e segmentação de rede”, observou. "O RecoverPoint for Virtual Machines não se destina ao uso em redes públicas ou não confiáveis."
De acordo com o Google, a credencial codificada refere-se a um usuário "administrador" da instância do Apache Tomcat Manager que pode ser usado para autenticação no Dell RecoverPoint Tomcat Manager, fazer upload de um shell da web chamado SLAYSTYLE por meio do endpoint "/manager/text/deploy" e executar comandos como root no dispositivo para descartar o backdoor BRICKSTORM e sua versão mais recente chamada GRIMBOLT.
“Este é um backdoor C# compilado usando compilação nativa antecipada (AOT), tornando mais difícil a engenharia reversa”, acrescentou Charles Carmakal da Mandiant.
O Google disse ao The Hacker News que a atividade tem como alvo organizações em toda a América do Norte, com o GRIMBOLT incorporando recursos para melhor evitar a detecção e minimizar rastros forenses em hosts infectados. “GRIMBOLT é ainda melhor para combinar com os arquivos nativos do próprio sistema”, acrescentou.
O UNC6201 também foi avaliado por compartilhar sobreposições com o UNC5221, outro cluster de espionagem do nexo da China conhecido por sua exploração de tecnologias de virtualização e vulnerabilidades de dia zero da Ivanti para distribuir shells da web e famílias de malware como BEEFLUSH, BRICKSTORM e ZIPLINE.
Apesar das semelhanças táticas, os dois grupos são avaliados como distintos nesta fase. É importante notar que o uso do BRICKSTORM também foi associado pelo CrowdStrike a um terceiro adversário alinhado à China, rastreado como Warp Panda, em ataques dirigidos a entidades dos EUA.
Um aspecto digno de nota do último conjunto de ataques gira em torno da dependência do UNC6201 de interfaces de rede virtuais temporárias – conhecidas como “NICs fantasmas” – para passar de máquinas virtuais comprometidas para ambientes internos ou SaaS e, em seguida, excluir essas NICs para encobrir os rastros em um esforço para impedir os esforços de investigação.
“Consistente com a campanha BRICKSTORM anterior, o UNC6201 continua a ter como alvo dispositivos que normalmente não possuem agentes tradicionais de detecção e resposta de endpoint (EDR) para permanecerem indetectados por longos períodos”, disse o Google.
Exatamente como o acesso inicial é obtido ainda não está claro, mas, como o UNC5221, também é conhecido por direcionar dispositivos de borda para invadir redes alvo. Uma análise dos dispositivos VMware vCenter comprometidos também descobriu comandos iptable executados por meio do web shell para executar o seguinte conjunto de ações -
Monitore o tráfego de entrada na porta 443 para uma string HEX específica
Adicione o endereço IP de origem desse tráfego a uma lista e se o endereço IP estiver na lista e se conectar à porta 10443, a conexão será ACEITA
Redirecione silenciosamente o tráfego subsequente da porta 443 para a porta 10443 pelos próximos 300 segundos (cinco minutos) se o IP estiver na lista aprovada
Além disso, o agente da ameaça foi encontrado substituindo os antigos binários do BRICKSTORM pelo GRIMBOLT em setembro de 2025. Embora o GRIMBOLT também forneça um recurso de shell remoto e use o mesmo comando e controle (C2) do BRICKSTORM, não se sabe o que motivou a mudança para o malware mais difícil de detectar, e se foi uma transição planejada ou uma resposta a divulgações públicas sobre o BRICKSTORM.
“Os agentes de ameaças do Estado-nação continuam a visar sistemas que normalmente não suportam soluções EDR, o que torna muito difícil para as organizações vítimas saberem que estão comprometidas e prolonga significativamente a intrusão dw
A atividade envolve a exploração de CVE-2026-22769 (pontuação CVSS: 10,0), um caso de credenciais codificadas que afetam versões anteriores a 6.0.3.1 HF1. Outros produtos, incluindo o RecoverPoint Classic, não são vulneráveis à falha.
“Isso é considerado crítico, pois um invasor remoto não autenticado com conhecimento da credencial codificada poderia potencialmente explorar esta vulnerabilidade, levando ao acesso não autorizado ao sistema operacional subjacente e à persistência no nível raiz”, disse Dell em um boletim divulgado terça-feira.
O problema afeta os seguintes produtos -
RecoverPoint for Virtual Machines versão 5.3 SP4 P1 – Migre do RecoverPoint for Virtual Machines 5.3 SP4 P1 para 6.0 SP3 e, em seguida, atualize para 6.0.3.1 HF1
RecoverPoint for Virtual Machines versões 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 e 6.0 SP3 P1 – Atualize para 6.0.3.1 HF1
RecoverPoint for Virtual Machines versões 5.3 SP4, 5.3 SP3, 5.3 SP2 e anteriores – atualize para a versão 5.3 SP4 P1 ou 6.x e aplique a correção necessária
“A Dell recomenda que o RecoverPoint for Virtual Machines seja implantado em uma rede interna confiável e com acesso controlado, protegida por firewalls apropriados e segmentação de rede”, observou. "O RecoverPoint for Virtual Machines não se destina ao uso em redes públicas ou não confiáveis."
De acordo com o Google, a credencial codificada refere-se a um usuário "administrador" da instância do Apache Tomcat Manager que pode ser usado para autenticação no Dell RecoverPoint Tomcat Manager, fazer upload de um shell da web chamado SLAYSTYLE por meio do endpoint "/manager/text/deploy" e executar comandos como root no dispositivo para descartar o backdoor BRICKSTORM e sua versão mais recente chamada GRIMBOLT.
“Este é um backdoor C# compilado usando compilação nativa antecipada (AOT), tornando mais difícil a engenharia reversa”, acrescentou Charles Carmakal da Mandiant.
O Google disse ao The Hacker News que a atividade tem como alvo organizações em toda a América do Norte, com o GRIMBOLT incorporando recursos para melhor evitar a detecção e minimizar rastros forenses em hosts infectados. “GRIMBOLT é ainda melhor para combinar com os arquivos nativos do próprio sistema”, acrescentou.
O UNC6201 também foi avaliado por compartilhar sobreposições com o UNC5221, outro cluster de espionagem do nexo da China conhecido por sua exploração de tecnologias de virtualização e vulnerabilidades de dia zero da Ivanti para distribuir shells da web e famílias de malware como BEEFLUSH, BRICKSTORM e ZIPLINE.
Apesar das semelhanças táticas, os dois grupos são avaliados como distintos nesta fase. É importante notar que o uso do BRICKSTORM também foi associado pelo CrowdStrike a um terceiro adversário alinhado à China, rastreado como Warp Panda, em ataques dirigidos a entidades dos EUA.
Um aspecto digno de nota do último conjunto de ataques gira em torno da dependência do UNC6201 de interfaces de rede virtuais temporárias – conhecidas como “NICs fantasmas” – para passar de máquinas virtuais comprometidas para ambientes internos ou SaaS e, em seguida, excluir essas NICs para encobrir os rastros em um esforço para impedir os esforços de investigação.
“Consistente com a campanha BRICKSTORM anterior, o UNC6201 continua a ter como alvo dispositivos que normalmente não possuem agentes tradicionais de detecção e resposta de endpoint (EDR) para permanecerem indetectados por longos períodos”, disse o Google.
Exatamente como o acesso inicial é obtido ainda não está claro, mas, como o UNC5221, também é conhecido por direcionar dispositivos de borda para invadir redes alvo. Uma análise dos dispositivos VMware vCenter comprometidos também descobriu comandos iptable executados por meio do web shell para executar o seguinte conjunto de ações -
Monitore o tráfego de entrada na porta 443 para uma string HEX específica
Adicione o endereço IP de origem desse tráfego a uma lista e se o endereço IP estiver na lista e se conectar à porta 10443, a conexão será ACEITA
Redirecione silenciosamente o tráfego subsequente da porta 443 para a porta 10443 pelos próximos 300 segundos (cinco minutos) se o IP estiver na lista aprovada
Além disso, o agente da ameaça foi encontrado substituindo os antigos binários do BRICKSTORM pelo GRIMBOLT em setembro de 2025. Embora o GRIMBOLT também forneça um recurso de shell remoto e use o mesmo comando e controle (C2) do BRICKSTORM, não se sabe o que motivou a mudança para o malware mais difícil de detectar, e se foi uma transição planejada ou uma resposta a divulgações públicas sobre o BRICKSTORM.
“Os agentes de ameaças do Estado-nação continuam a visar sistemas que normalmente não suportam soluções EDR, o que torna muito difícil para as organizações vítimas saberem que estão comprometidas e prolonga significativamente a intrusão dw
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #dell #recoverpoint #para #vms #zeroday #cve202622769 #explorado #desde #meados #de #2024
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário