Bereits seit 2024 nutzen chinesische Hacker eine maximal kritische Zero-Day-Sicherheitslücke in Dell RecoverPoint for Virtual Machines aus. Diese ermöglicht Angreifern unbefugten Zugriff mit Root-Rechten. Nutzer sollten schnellstmöglich patchen.
Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet.
Für Nutzer von Dell RecoverPoint ist aus Sicht der Cybersicherheit der schlimmste Fall eingetreten: Eine Sicherheitslücke mit dem höchstmöglichen CVSS-Score 10.0 wird aktiv ausgenutzt. EUVD-2026-7966* / CVE-2026-22769 (EPSS-Score 0.00) beschreibt das Problem, dass in RecoverPoint für virtuelle Maschinen (RPVMs) fest codierte Anmeldeinformationen vorhanden sind. Cyberangreifer, die in Besitz dieser Anmeldedaten gelangen, können die Schwachstelle ausnutzen und sich Zugriff auf das zugrundeliegende Betriebssystem und dauerhafte Root-Rechte verschaffen.
Produkt
Betroffene Versionen
Abhilfemaßnahmen
RecoverPoint for Virtual Machines
Version 5.3 SP4 P1
Führen Sie die folgenden Schritte in der angegebenen Reihenfolge aus: 1. Migrieren Sie von RecoverPoint for Virtual Machines 5.3 SP4 P1 auf 6.0 SP3 (Anweisungen) 2. Upgrade auf 6.0.3.1 HF1 ODER Führen Sie die Anweisungen im Artikel der Wissensdatenbank aus, um das Remediation-Skript auszuführen: RecoverPoint for Virtual Machines: Anwenden des Remediation-Skripts für DSA-2026-079
Upgrade auf 6.0.3.1 HF1 ODER Führen Sie die Anweisungen im Artikel der Wissensdatenbank aus, um das Remediation-Skript auszuführen: RecoverPoint for Virtual Machines: Anwenden des Remediation-Skripts für DSA-2026-079
Dell RecoverPoint for Virtual Machines ist eine Betriebs- und Disaster-Recovery-Lösung, die speziell für VMware-Umgebungen entwickelt wurde. Sie ermöglicht den Schutz von Daten mit der Fähigkeit zur Wiederherstellung durch lokale und externe Replikation, einschließlich Replikation in die Cloud. Die CISA hat EUVD-2026-7966 / CVE-2026-22769 am 18. Februar 2026 in ihren KEV-Katalog aufgenommen und gab US-Behörden bis zum 21. Februar 2026 Zeit, die Zero-Day-Schwachstelle zu patchen.
Dell berichtet, von Google Mandiant einen Bericht über eine begrenzte aktive Ausnutzung dieser Sicherheitslücke erhalten zu haben. Mandiant zufolge wird EUVD-2026-7966 / CVE-2026-22769 seit mindestens Mitte 2024 von der Hackergruppe „UNC6201“ ausgenutzt, die vor allem für ihre Spionageaktivitäten bekannt ist und mit China in Verbindung steht. Die Akteure hätten sich lateral fortbewegt, einen dauerhaften Zugriff eingerichtet und Schadsoftware wie „Slaystyle“, „Brickstorm“ und eine neuartige Backdoor namens „Grimbolt“ verbreitet. Den ursprünglichen Zugriffsvektor hätten die Forscher nicht identifizieren können, UNC6201 hätte allerdings Edge-Geräte, wie VPN-Konzentratoren, für den Erstzugriff angegriffen.
Mandiant hat eigenen Angaben nach mehrere RPVMs untersucht, die mithilfe von CVE-202622769 kompromittiert wurden, und festgestellt, dass diese aktive Command-and-Control-Verbindungen mit den Backdoors Brickstorm udn Grimbolt verfügten. Vor der Kompromittierung seien mehrere Webanfragen mit dem Benutzernamen „admin“ an eine Appliance gerichtet worden, die dann an den installierten Apache Tomcat Manager weitergesendet worden seien. Dieser wird zur Bereitstellung verschiedener Komponenten der RecoverPoint-Software verwendet und habe im Falle von EUVD-2026-7966 / CVE-2026-22769 zur Bereitstellung einer schädlichen WAR-Datei (Web Application Archive) mit einer Slaystyle-Webshell geführt.
Nach der Analyse verschiedener Konfigurationsdateien des Tomcat Managers hätten die Analysten in der Datei „/home/kos/tomcat9/tomcat-users.xml“ fest codierte Standardanmeldeinformationen für den Administratorbenutzer gefunden. Mit diesen Anmeldeinformationen seien die Angreifer in der Lage gewesen, sich beim Dell RecoverPoint Tomcat Manager zu authentifizieren, eine schädliche WAR-Datei über den Endpunkt „/manager/text/deploy“ hochzuladen und anschließend Befehle als Root auf der Appliance auszuführen. Erstmals sei diese Art von Cyberangriff Mitte 2024 beobachtet worden.
Wie die Analysten von Mandiant berichten, würden die Akteure nach wie vor VMware-Infrastrukturen kompromittieren. Zudem hätten sie mehrere neue Taktiken, Techniken und Verfahren (TTPs) entdeckt, über die bisher noch nicht berichtet worden sei. Zum einen entdeckten sie sogenannte Geister-Netzwerkkarten. Dies bedeute, dass die Angreifer neue temporäre Netzwerkports auf bestehenden virtuellen Maschinen erstellt hätten, die auf einem ESXi-Server laufen würden. Mithilfe dieser Netzwerkports seien sie anschließend in verschiedene interne Infrastrukturen und SaaS-Lösungen der betroffenen Organisationen eingedrungen.
Zudem hätten sie „iptables-Proxying“ beobachtet. Bei der Analyse kompromittierter vCenter-Appliances habe Mandiant mehrere Befehle aus dem Systemd-Journal wiederherstellen können, die die Angreifer mithilfe einer eingesetzten SLAYSTYLE-Webshell ausgeführt hätten. Diese iptables-Befehle seien für die Einzelpaket-Autorisierung verwendet worden und würden Folgendes umfassen:
Überwachung des eingehenden Datenverkehrs auf Port 443 hinsichtlich einer bestimmten HEX-Zeichenfolge.
Hinzufügen der Quell-IP-Adresse dieses Datenverkehrs zu einer Liste. Sofern sich die IP-Adresse auf der Liste befinde und sich mit Port 10443 verbinde, werde die Verbindung akzeptiert.
Sobald der erste genehmigte Datenverkehr auf Port 10443 eingehe, werde jeglicher nachfolgender Datenverkehr automatisch umgeleitet.
Für die nächsten fünf Minuten werde jeglicher Datenverkehr an Port 443 stillschweigend auf Port 10443 umgeleitet, sofern sich die IP-Adresse auf der Liste der genehmigten Adressen befinde.
Mit diesen neuartigen Techniken würden die Angreifer ihre Bemühungen fortsetzen, VMware-Infrastrukturen zu kompromittieren und unentdeckten Zugang zu internen Netzwerken zu erlangen. Durch die Erstellung temporärer Netzwerkports und den Einsatz von iptables-Proxying seien sie in der Lage, den Datenverkehr gezielt zu überwachen und autorisierten Zugriff zu ermöglichen, während sie gleichzeitig ihre Aktivitäten vor Entdeckung schützen würden. Diese Methoden könnten die Ausweitung ihrer Kontrolle und den Zugriff auf kritische Ressourcen innerhalb der betroffenen Organisationen erleichtern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Neben den Sicherheitsmaßnahmen, die Dell in seinem Security Advisory beschreibt, sollten Nutzer von RecoverPoint für virtuelle Maschinen auch folgende Hinweise und Empfehlungen von Mandiant beachten:
Die Webprotokolle des Tomcat Managers werden den Experten zufolge in „/home/kos/auditlog/fapi_cl_audit_log.log“ gespeichert. Prüfen Sie die Protokolldatei auf Anfragen an „/manager“. Solche Anfragen sollten als verdächtig eingestuft werden.
Anfragen vom Typ „PUT /manager/text/deploy?path=/<MAL_PATH>&update=true“ seien potenziell schädlich. „MAL_PATH“ sei der Pfad, unter dem eine potenziell schädliche WAR-Datei hochgeladen werde.
Hochgeladene WAR-Dateien würden üblicherweise in „/var/lib/tomcat9“ gespeichert.
Kompilierte Artefakte für hochgeladene WAR-Dateien befinden sich laut Mandiant in „/var/cache/tomcat9/Catalina“.
Tomcat-Anwendungsprotokolle würden sich in „/var/log/tomcat9/“ befinden. Sie sollten alle Ereignisse von „org.apache.catalina.startup.HostConfig.deployWAR“ und „org.apache.catalina.startup.HostConfig.deployWAR“ untersuchen. Localhost enthalte zudem zusätzliche Ereignisse im Zusammenhang mit der WAR-Bereitstellung sowie alle Ausnahmen, die durch schädliche WAR-Dateien und eingebettete Dateien generiert werden.
Die Persistenz der Backdoors Brickstorm und Grimbolt auf Dell RecoverPoint für virtuelle Maschinen werde durch die Änderung von „/home/kos/kbox/src/installation/distribution/convert_hosts.sh“ erreicht, um den Pfad zur Backdoor einzufügen.
Mandiant hat zudem eine Liste mit Indicators of Compromise erstellt, die Betroffenen helfen, potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und unerlaubte Aktivitäten in ihren Systemen zu identifizieren.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/b5/a9b5c5c5c325864029ac6639759c5d27/0129786112v2.jpeg "NIS 2 sollte mithilfe von Sichtbarkeit durch zentrales Logging und Asset-Daten, Incident Response mit Runbooks und Übungen und Lieferketten mit klaren Standards und Nachweisen umgesetzt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/54/60/54604dd9ae65674f94a61c1744bc2b40/0129673001v2.jpeg "Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/0c/960c75ffe0a62d339278b3c6ce6cc076/0129346648v2.jpeg "Vermutlich, um mit wenig Aufwand hohe Prämien für entdeckte Sicherheitslücken einzuheimsen, erreichten das Team von cURL vermehrt KI-generierte Berichte. Diese seien jedoch teils so falsch gewesen, dass das Team sein Bug-Bounty-Programm eingestellt hat. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5f/1d/5f1d070630e02593c44d07f590a62330/0129718619v1.jpeg "„Viele Security-Teams sind heute im Dauerstress – nicht, weil sie zu wenig tun, sondern weil sie in einem reaktiven Paradigma gefangen sind: Vorfall erkennen, isolieren, analysieren, schließen.“ sagt Max Rahner, Senior Business Development Manager bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei IDMerit, einem kalifornischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/6f/166f2092164f9bb95999f1d8c2614445/0129526993v4.jpeg "China hat die Regeln für Cybervorfälle neu geschrieben und verlangt jetzt Reaktionen in Minuten statt Tagen. Deutsche Unternehmen brauchen belastbare Prozesse die auch unter Zeitdruck noch funktionieren. (Bild: © AH TAR STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/a7/fda7d067c2285c6117392fe77ca95327/0129322250v2.jpeg "Die französische nationale Funkfrequenzbehörde nahm die Spione wegen de rillegalen Nutzung und Störung von Frequenzen und dem illegalen Besitz von technischen Geräten zum Empfang von Computerdaten fest. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/f5/73f58fc7aa25fff37737ad39e645f58d/0129416630v1.jpeg "Wo Licht ist, ist auch Schatten: Mit der großen Beliebtheit von OpenClaw kommen auch Sicherheitsrisiken einher. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/6d/346d2bf387bf6e611f8392810a17bbf6/0129601265v2.jpeg "Mit VirtualBox können Nutzer mehrer VMs auf einem Computer betreiben. Derzeit steht die Open-Source-Lösung unter Beschuss, da die ZDI sieben Zero-Day-Schwachstellen darin entdeckt hat. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")