Amerikaanse overheidsinstanties moeten een beveiligingsupdate voor een kritieke kwetsbaarheid in Dell RecoverPoint for Virtual Machines binnen drie dagen uitrollen, zo heeft het Amerikaanse cyberagentschap CISA bepaald. Het beveiligingslek wordt al sinds halverwege 2024 misbruikt bij aanvallen, zo meldde Google eerder deze week.

Dell RecoverPoint for Virtual Machines is een oplossing waarmee beheerders hun VMware virtual machines kunnen herstellen. Het is een softwarematige oplossing die vooral is bedoeld voor back-up en disaster recovery. De software wordt geïnstalleerd op VMware ESXi-servers. De kwetsbaarheid, aangeduid als CVE-2026-22769, betreft de aanwezigheid van hardcoded inloggegevens.

Een ongeauthenticeerde aanvaller kan deze inloggegevens gebruiken om kwetsbare systemen volledig over te nemen en daarvandaan interne en software-as-a-service (SaaS) omgevingen aan te vallen waar de aangevallen organisaties gebruik van maken. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht bij van actief aangevallen kwetsbaarheden en geeft overheidsinstanties een deadline om updates voor deze beveiligingslekken te installeren.

Amerikaanse overheidsinstanties zijn verplicht om de patch-richtlijnen van het CISA op te volgen. Het cyberagentschap hanteert normaliter een deadline van drie weken voor het installeren van updates voor actief aangevallen kwetsbaarheden. In het geval van CVE-2026-22769 hebben federale Amerikaanse overheidsinstanties echter drie dagen de tijd gekregen om de patch te installeren. Het Nationaal Cyber Security Centrum (NCSC) heeft ook een beveiligingsadvies voor de kwetsbaarheid uitgegeven.