Vulnerabilidad crítica «Zero-Day» en Dell RecoverPoint permite acceso total y es explotada por actores de amenazas

Una vulnerabilidad de severidad máxima en el software de respaldo empresarial Dell RecoverPoint for Virtual Machines (RP4VMs) está siendo explotada activamente por atacantes desde mediados de 2024. La falla permite el control total de sistemas críticos utilizados por organizaciones para la replicación de datos y la recuperación ante desastres.

Identificada como CVE-2026-22769, esta vulnerabilidad ha recibido la calificación más alta de gravedad: 10.0 en la escala CVSS. Según las investigaciones de Mandiant (Google Cloud), el grupo de amenazas de nexo chino identificado como UNC6201 ha estado utilizando este fallo para infiltrarse en redes corporativas, desplegar malware y mantener persistencia a largo plazo.

El origen del fallo: Credenciales «Hardcoded»

A diferencia de otros fallos que requieren complejas cadenas de exploits, esta vulnerabilidad se origina en credenciales administrativas preconfiguradas (hardcoded) en el componente Apache Tomcat del software.

Cualquier atacante que conozca estas credenciales puede autenticarse de forma remota con privilegios de administrador, obteniendo control total sobre el sistema operativo y el entorno de respaldo. Esto es especialmente peligroso, ya que estos sistemas son la última línea de defensa de una empresa para restaurar operaciones tras un ataque de ransomware.

Tácticas de evasión avanzadas

Los investigadores de seguridad destacaron la sofisticación de UNC6201 durante las intrusiones. El grupo utilizó una serie de herramientas personalizadas y tácticas para evitar ser detectados:

Malware especializado: Se identificó el uso de backdoors y herramientas de transferencia de archivos como BRICKSTORM, SLAYSTYLE y un nuevo implante denominado GRIMBOLT.
Interfaces de red «fantasma»: Los atacantes crearon interfaces de red virtuales temporales para ocultar su tráfico. Una vez finalizada la actividad maliciosa, eliminaban estas interfaces para borrar el rastro forense.
Persistencia: El grupo logró establecer mecanismos para asegurar su acceso continuo dentro de las redes de las víctimas.

Versiones afectadas y mitigación

La vulnerabilidad afecta específicamente a:

Dell RecoverPoint for Virtual Machines: Versiones anteriores a la 6.0.3.1 HF1

Otros productos de la línea RecoverPoint (como versiones de hardware físico) no se ven afectados por este CVE específico.

Dell Technologies ha instado a todos los administradores a tomar medidas inmediatas:

Actualizar: Instalar la versión corregida 6.0.3.1 HF1 (o superior) o aplicar el parche de seguridad DSA-2026-079.
Auditar: Revisar los registros de red en busca de conexiones inusuales hacia los puertos de administración del sistema.
Monitorear: Buscar indicadores de compromiso (IoC) relacionados con el grupo UNC6201, como la creación inesperada de adaptadores de red virtuales.

Este incidente subraya una tendencia crítica en el panorama de amenazas actual en la que los atacantes ya no solo buscan cifrar datos, sino comprometer la infraestructura de recuperación para dejar a las organizaciones sin opciones de respuesta ante incidentes.

Indicadores de Compromiso (IOCs)

Familia	Nombre de archivo	SHA256
GRIMBOLT	support	24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c
GRIMBOLT	out_elf_2	dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591
SLAYSTYLE	default_jsp.java	92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a
BRICKSTORM	N/A	aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878
BRICKSTORM	splisten	2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df
BRICKSTORM	N/A	320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759
BRICKSTORM	N/A	90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035
BRICKSTORM	N/A	45313a6745803a7f57ff35f5397fdf117eaec008a76417e6e2ac8a6280f7d830