Google Threat Intelligence Group

**Nome do Software Vulnerável e Versões Afetadas** Dell RecoverPoint for Virtual Machines, versões anteriores a 6.0.3.1 HF1 **Descrição** O Dell RecoverPoint for Virtual Machines apresenta uma vulnerabilidade crítica (CVE-2026-22769) devido a credenciais embutidas. Isso permite que atacantes remotos não autenticados obtenham acesso de nível root ao sistema operacional subjacente e potencialmente comprometam a infraestrutura de backup e recuperação de desastres da VMware. A vulnerabilidade tem sido explorada ativamente desde meados de 2024 por um ator de ameaça vinculado à China (UNC6201, também associado ao Silk Typhoon). Os atacantes utilizaram esse acesso para implantar malware, incluindo SLAYSTYLE, BRICKSTORM e GRIMBOLT, e para se moverem lateralmente dentro das redes comprometidas. A exploração envolve acessar a interface do Tomcat Manager com credenciais embutidas e implantar aplicações web maliciosas. Os atores de ameaça também empregaram técnicas como "Ghost NICs" para evitar detecção. A CISA ordenou que as agências federais corrijam essa vulnerabilidade em até três dias. **Recomendações** Atualize o Dell RecoverPoint for Virtual Machines para a versão 6.0.3.1 HF1 ou posterior. Aplique as correções fornecidas pela Dell. Procure por indicadores de comprometimento relacionados às famílias de malware (SLAYSTYLE, BRICKSTORM, GRIMBOLT) e atividades maliciosas nos logs do Tomcat Manager. Restrinja o acesso à interface do Tomcat Manager.