# CVE-2026-22769 - Dell RecoverPoint for VMs Credenciais Hard-Coded (RCE Crítico) > [!critical] Severidade Máxima - Zero-Day Explorado por APT Chinês > Vulnerabilidade CVSS 10.0 com credenciais hard-coded no Dell RecoverPoint for VMs, explorada como zero-day pelo grupo chinês **UNC6201** desde meados de 2024. CISA KEV desde 18/02/2026. Cadeia de ataque implanta três famílias de malware e utiliza técnica inovadora "Ghost NICs" para evasão. ## Visão Geral **CVE-2026-22769** é uma vulnerabilidade crítica de **credenciais hard-coded** no [[Dell RecoverPoint for VMs]], plataforma de proteção e replicação de dados para máquinas virtuais em ambientes [[vmware-esxi|VMware ESXi]]. A falha reside em credenciais de administrador fixas no Apache Tomcat Manager (`tomcat-users.xml`), permitindo acesso completo sem autenticação legítima. A vulnerabilidade afeta todas as versões anteriores à 6.0.3.1 HF1 e foi explorada como zero-day por pelo menos **18 meses** pelo grupo chinês [[unc6201|UNC6201]], que apresenta sobreposição operacional com [[g0125-silk-typhoon|Silk Typhoon]]. A cadeia de ataque é sofisticada, envolvendo três famílias de malware implantadas sequencialmente: **SLAYSTYLE** (web shell), **[[brickstorm|BRICKSTORM]]** (backdoor), e **GRIMBOLT** (implante C# compilado com .NET AOT para máxima evasão). O aspecto mais inovador da campanha é a técnica "**Ghost NICs**" - criação de interfaces de rede virtuais temporárias em hypervisors ESXi que monitoram a porta 443 por strings HEX específicas, redirecionando tráfego autorizado para porta 10443 por janelas de 300 segundos antes de se auto-destruírem, eliminando evidências forenses. O impacto operacional é significativo: comprometer o RecoverPoint significa acesso direto à camada de backup e replicação de VMs, permitindo exfiltração massiva de dados e potencial destruição de backups como preparação para [[t1486-data-encrypted-for-impact|ransomware]]. ## Attack Flow ```mermaid graph TB A["📡 Descoberta<br/>Scan por RecoverPoint exposto"] --> B["💥 Acesso Inicial<br/>Credenciais hard-coded<br/>no Tomcat Manager"] B --> C["🔑 SLAYSTYLE<br/>Web shell via /manager/<br/>text/deploy"] C --> D["🛡️ BRICKSTORM<br/>Backdoor persistente<br/>via rc.local"] D --> E["🔗 Ghost NICs<br/>Interfaces virtuais ESXi<br/>para pivoting furtivo"] E --> F["🛡️ GRIMBOLT<br/>Implante .NET AOT<br/>C2 avançado"] F --> G["📤 Exfiltração<br/>Dados de VMs e backups<br/>via C2 criptografado"] ``` ## TTPs Mapeados | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de credenciais hard-coded no Tomcat Manager | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Execução de comandos via web shell SLAYSTYLE | | Persistence | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Modificação de `convert_hosts.sh` via `rc.local` | | Persistence | [[t1505-003-web-shell\|T1505.003]] | Deploy de SLAYSTYLE via Tomcat Manager | | Defense Evasion | [[t1070-004-file-deletion\|T1070.004]] | Ghost NICs auto-destruídas após 300 segundos | | Command and Control | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS porta 443/10443 | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via canal C2 criptografado | ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Dell RecoverPoint for VMs é utilizado em ambientes corporativos de grande porte no Brasil, particularmente em **data centers** dos setores **financeiro**, **telecomúnicações** e **governo**. A Dell possui presença significativa no mercado brasileiro de infraestrutura, com escritórios em Eldorado do Sul (RS) e parcerias com provedores locais de nuvem. Organizações brasileiras que operam ambientes VMware com RecoverPoint devem considerar **comprometimento presumido** se os servidores estiveram expostos à internet antes de 18 de fevereiro de 2026. A natureza do ataque - espionagem prolongada por grupo nexo-China - levanta preocupações para setores estratégicos brasileiros como [[energy|energia]], [[government|governo federal]] e [[financial|financeiro]], que são alvos recorrentes de campanhas APT. A recomendação para equipes de SOC na região é priorizar a busca por artefatos dos três malwares (SLAYSTYLE, BRICKSTORM, GRIMBOLT) e por interfaces de rede virtuais anômalas em hypervisors ESXi, além de auditar logs de acesso ao endpoint `/manager/text/deploy` do Tomcat em servidores RecoverPoint. ## Detecção e Defesa ### Ações Imediatas 1. **Aplicar patch** para versão 6.0.3.1 HF1 ou superior imediatamente 2. **Auditar servidores RecoverPoint** por acesso ao endpoint `/manager/text/deploy` 3. **Buscar artefatos** de SLAYSTYLE, [[brickstorm|BRICKSTORM]] e GRIMBOLT 4. **Verificar** modificações em `convert_hosts.sh` e `rc.local` 5. **Inspecionar hypervisors ESXi** por interfaces de rede virtuais temporárias ### Detecção - Monitorar criação de interfaces de rede não documentadas em ESXi - Alertar sobre tráfego na porta 10443 em servidores RecoverPoint - Verificar processos .NET AOT anômalos (GRIMBOLT) - Aplicar regras de detecção para web shells em diretórios Tomcat: [[M1018-user-account-management|M1018]] ### Mitigações MITRE - [[M1030-network-segmentation|M1030 - Network Segmentation]]: isolar RecoverPoint da internet - [[M1032-multi-factor-authentication|M1032 - Multi-factor Authentication]]: não depender apenas de credenciais locais - [[M1051-update-software|M1051 - Update Software]]: aplicar patch Dell DSA-2026-079 ## Referências - [Google Cloud - UNC6201 Exploiting Dell RecoverPoint Zero-Day](https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day) - [The Hacker News - Dell RecoverPoint Zero-Day](https://thehackernews.com/2026/02/dell-recoverpoint-for-vms-zero-day-cve.html) - [Dell DSA-2026-079](https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079) - [Truesec - Zero-Day Dell RecoverPoint](https://www.truesec.com/hub/blog/zero-day-dell-recoverpoint-for-virtual-machines-CVE-2026-22769) - [NVD - CVE-2026-22769](https://nvd.nist.gov/vuln/detail/CVE-2026-22769) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)