Nieuws
image

Dell waarschuwt voor kritiek lek al bijna 2 jaar gebruikt bij aanvallen

woensdag 18 februari 2026, 09:28 door Redactie, 3 reacties

Dell waarschuwt organisaties voor een kritieke kwetsbaarheid die al bijna twee jaar lang gebruikt is bij aanvallen voordat een patch beschikbaar was. De impact van het beveiligingslek in Dell RecoverPoint for Virtual Machines is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Via RecoverPoint for Virtual Machines kunnen beheerders hun VMware virtual machines herstellen. Het is een softwarematige oplossing die vooral is bedoeld voor back-up en disaster recovery. De software wordt geïnstalleerd op VMware ESXi-servers.

De kwetsbaarheid, aangeduid als CVE-2026-22769, betreft de aanwezigheid van hardcoded inloggegevens. Een ongeauthenticeerde aanvaller kan hiermee met 'root-level persistence' op afstand toegang tot het onderliggende besturingssysteem van de server krijgen, zo laat de omschrijving van Dell weten. Volgens Google maakt een groep aanvallers genaamd UNC6201 al zeker sinds halverwege 2024 misbruik van dit beveiligingslek.

De aanvallers gebruikten het beveiligingslek om commando's als root op de onderliggende appliance uit te voeren, aldus Google. Bij de aanvallen installeren de aanvallers webshells en backdoors om toegang tot het gecompromitteerde systeem te behouden. Ook maken ze tijdelijke nieuwe netwerkpoorten op bestaande virtual machines aan die op een ESXI-server draaien. Via deze netwerkpoorten bewegen de aanvallers zich naar verschillende interne en software-as-a-service (SaaS) omgevingen waar de aangevallen organisaties gebruik van maken.

Google heeft Indicators of Compromise (IOC's) gedeeld waarmee organisaties kunnen controleren of hun systemen via het Dell-lek zijn gehackt. Dell roept organisaties op om de beschikbaar gestelde update voor CVE-2026-22769 zo snel mogelijk te installeren. Hoeveel organisaties via de kwetsbaarheid zijn aangevallen is onbekend.

Reacties (3)
Reageer met quote
18-02-2026, 16:58 door Anoniem
Bizar dat Dell er zo lang over doet om een patch te maken...
Reageer met quote
18-02-2026, 19:09 door Anoniem
Hardcoded credentials, dat is toch iets van voor 2000? Dell ga je schamen dat je dat nu nog uit durft te brengen!
Reageer met quote
19-02-2026, 13:04 door Anoniem
Door Anoniem: Bizar dat Dell er zo lang over doet om een patch te maken...

Dat is niet precies zeker.

Het CVE nummer is van 2026 . In de google link staat ook niet exact wanneer het lek gevonden is door Mandiant , maar het lijkt erop dat de vondst vrij recent is - en vermoedelijk alleen achteraf gereconstrueerd dat de eerste exploits (veel) eerder waren.

Ze schrijven:
Mandiant discovered CVE-2026-22769 while investigating multiple Dell RecoverPoint for Virtual Machines within a victim’s environment that had active C2 associated with BRICKSTORM and GRIMBOLT backdoors. During analysis of the appliances, analysts identified multiple web requests to an appliance prior to compromise using the username admin.
...
The earliest identified exploitation activity of this vulnerability occurred in mid-2024.

Ik denk echt niet dat een security team dat een 10.0 vulnerability vindt die 2 jaar laat exploiten omdat de vendor "bezig" is met een patch .

Ik denk dat ze het lek heel recent vonden, en dan uit logs , snapshots en backups daarna constateerden dat de bad guys het tenminste in 2024 al gebruikten.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components