A CVE-2026-22769 envolve credenciais hardcoded no Tomcat Manager do appliance e permitiu acesso não autenticado, implantação de web shell, execução como root e persistência com BRICKSTORM e GRIMBOLT.
| Componente | Dell RecoverPoint for Virtual Machines em versões anteriores a 6[.]0[.]3[.]1 HF1, com credencial hardcoded associada ao usuário admin do Apache Tomcat Manager. |
| Vetor | Um atacante remoto não autenticado, com conhecimento da credencial hardcoded, pode autenticar no Tomcat Manager do RecoverPoint e abusar do endpoint /manager/text/deploy para implantar web shell. |
| Impacto | A exploração permite acesso ao sistema operacional subjacente, execução de comandos como root no appliance e persistência com BRICKSTORM ou GRIMBOLT. |
| Prioridade | Aplicar 6[.]0[.]3[.]1 HF1 ou o caminho de atualização indicado para ramos 5.3 e 6.0, além de caçar sinais de web shell, backdoors e manipulação temporária de interfaces de rede virtuais. |
| Versões | 5.3 SP4 P1 deve migrar para 6.0 SP3 e depois 6[.]0[.]3[.]1 HF1; ramos 6.0 até 6.0 SP3 P1 devem atualizar para 6[.]0[.]3[.]1 HF1; ramos 5.3 SP4, 5.3 SP3, 5.3 SP2 e anteriores exigem atualização intermediária antes da remediação. |
| Artefatos | Foram observados web shell SLAYSTYLE, backdoor BRICKSTORM, variante GRIMBOLT, uso de C2 compartilhado entre BRICKSTORM e GRIMBOLT e interfaces virtuais temporárias descritas como Ghost NICs. |
| IoCs | A infraestrutura associada a GRIMBOLT incluiu os IPs defangados 149.248.11[.]71, 140.82.18[.]134 e 66.42.111[.]219, com certificado X.509 relacionado e porta 3389 aberta. |
A CVE-2026-22769 é uma vulnerabilidade de severidade máxima no Dell RecoverPoint for Virtual Machines, explorada como zero day desde meados de 2024 por um agrupamento de ameaça rastreado como UNC6201 e associado, de forma suspeita, a operações de espionagem com nexo chinês. A falha recebeu CVSS 10.0 e decorre de credenciais hardcoded que permitem autenticação indevida em uma instância Apache Tomcat Manager presente no appliance. O escopo informado limita a exposição ao RecoverPoint for Virtual Machines em versões anteriores a 6[.]0[.]3[.]1 HF1; RecoverPoint Classic e outros produtos citados no contexto não são apontados como vulneráveis a essa falha específica.
O impacto técnico confirmado não se restringe à autenticação indevida. A cadeia observada permite que o operador acesse o Tomcat Manager do RecoverPoint, implante um web shell chamado SLAYSTYLE pelo endpoint /manager/text/deploy e execute comandos como root no appliance. A partir desse ponto, foram implantados BRICKSTORM e GRIMBOLT, backdoors usados para persistência e controle remoto. GRIMBOLT é descrito como uma evolução mais difícil de analisar, compilada em C# com native ahead-of-time, além de incorporar recursos para reduzir rastros forenses e se misturar melhor a arquivos nativos do sistema.
A exploração é particularmente sensível porque o appliance fica em uma posição de confiança dentro de ambientes virtualizados e tende a não receber a mesma cobertura de EDR aplicada a estáções e servidores convencionais. Esse tipo de ativo, quando comprometido, oferece ao invasor um ponto persistente em uma camada operacional crítica, com menos visibilidade de endpoint e alto potencial para pivôs internos. A CISA incluiu a CVE-2026-22769 no catálogo KEV em 18 de fevereiro de 2026, exigindo correção até 21 de fevereiro de 2026 para agências federais civis dos Estados Unidos.
A condição inicial conhecida é a presença de uma versão vulnerável do Dell RecoverPoint for Virtual Machines e a exposição do serviço afetado a um caminho alcançável pelo atacante. A falha envolve uma credencial hardcoded associada ao usuário admin no Apache Tomcat Manager. Com essa credencial, o invasor pode se autenticar sem depender de credenciais legítimas da organização e usar a funcionalidade administrativa do Tomcat para fazer deploy de um web shell. O endpoint citado no contexto é /manager/text/deploy, usado para posicionar SLAYSTYLE no ambiente comprometido.
Depois do web shell, a execução ocorre no nível do sistema operacional do appliance, com privilégios de root. Essa etapa é decisiva para a persistência, porque o operador passa a ter capacidade de gravar binários, alterar configurações locais e preparar canais de comando e controle. BRICKSTORM foi observado como backdoor implantado nesse fluxo, e GRIMBOLT apareceu posteriormente como substituto ou evolução operacional. Em setembro de 2025, operadores foram encontrados substituindo binários antigos de BRICKSTORM por GRIMBOLT. O motivo da transição não está confirmado: pode ter sido planejamento operacional ou resposta a divulgações públicas anteriores sobre BRICKSTORM.
A atividade também inclui técnica de pivô baseada em interfaces de rede virtuais temporárias, descritas como Ghost NICs. O operador cria interfaces temporárias para saltar de máquinas virtuais comprometidas para ambientes internos ou SaaS e depois as remove para dificultar a reconstrução investigativa. Em appliances VMware vCenter comprometidos, a análise identificou alterações de filtragem e redirecionamento de tráfego que permitem aceitar conexões de IPs previamente observados e redirecionar tráfego destinado à porta 443 para a porta 10443 por uma janela curta. O comando operacional foi omitido; defensivamente, o ponto relevante é a existência de regras efêmeras que mudam o caminho de conexão e favorecem acesso furtivo.
A atribuição ainda tem limites. UNC6201 apresenta sobreposições com UNC5221, outro cluster associado a exploração de tecnologias de virtualização e vulnerabilidades zero day em Ivanti, mas os grupos são tratados como distintos no estágio descrito. BRICKSTORM também já foi vinculado por outra empresa a um adversário alinhado à China rastreado como Warp Panda, também conhecido como Clay Typhoon e Storm-2416. Esses cruzamentos reforçam semelhanças táticas, mas não autorizam tratar todos os conjuntos como uma única operação.
A superfície direta é o Dell RecoverPoint for Virtual Machines em versões anteriores à correção 6[.]0[.]3[.]1 HF1. A recomendação do fornecedor é que o produto opere apenas em rede interna confiável, com controle de acesso, firewall e segmentação apropriada. O produto não é destinado a redes públicas ou não confiáveis; quando essa premissa é violada, a falha se torna mais perigosa porque a autenticação indevida no Tomcat Manager pode ser alcançada por atores remotos que conheçam a credencial hardcoded.
O risco real não está apenas no appliance isolado. RecoverPoint for Virtual Machines opera em contexto de virtualização e continuidade operacional, o que o coloca próximo de infraestrutura crítica para replicação e recuperação. Uma persistência root nesse ponto pode permitir que o invasor permaneça por longo período, especialmente em ambientes onde appliances recebem pouca telemetria de endpoint. A atividade descrita desde meados de 2024 indica tempo suficiente para persistência, troca de ferramentas e movimentação silenciosa em ambientes que ainda não foram corrigidos ou que foram remediados sem investigação histórica.
- RecoverPoint for Virtual Machines 5.3 SP4 P1 exige migração para 6.0 SP3 e depois atualização para 6[.]0[.]3[.]1 HF1.
- RecoverPoint for Virtual Machines 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 e 6.0 SP3 P1 devem atualizar para 6[.]0[.]3[.]1 HF1.
- RecoverPoint for Virtual Machines 5.3 SP4, 5.3 SP3, 5.3 SP2 e versões anteriores exigem atualização para 5.3 SP4 P1 ou para um ramo 6.x antes da remediação necessária.
- RecoverPoint Classic não é indicado no contexto como afetado pela
CVE-2026-22769.
A busca deve começar pelo appliance e por sistemas de virtualização adjacentes. Como a cadeia usa Tomcat Manager, registros de autenticação administrativa, deploy de aplicações e chamadas ao endpoint /manager/text/deploy são artefatos centrais. O aparecimento de SLAYSTYLE deve ser tratado como indicação crítica de exploração, principalmente quando associado a processos que executam comandos no appliance com privilégios elevados. Mesmo após a atualização, a investigação precisa cobrir períodos anteriores a fevereiro de 2026, porque a atividade foi descrita como existente desde meados de 2024.
Em endpoint e rede, os sinais de BRICKSTORM e GRIMBOLT devem ser correlacionados com conexões C2, persistência incomum e alterações de binários. GRIMBOLT usa o mesmo C2 de BRICKSTORM no contexto descrito, mas foi projetado para reduzir rastros e se aproximar de arquivos nativos do sistema, o que exige comparação de integridade, análise de caminhos de execução e validação de arquivos recém-substituídos. A infraestrutura associada a GRIMBOLT inclui indícios em VPS da Vultr, certificado X.509 reutilizado e porta 3389 aberta em IPs relacionados, incluindo 149.248.11[.]71, 140.82.18[.]134 e 66.42.111[.]219.
A técnica de Ghost NICs exige olhar além de alertas tradicionais. Interfaces virtuais criadas e removidas em janelas curtas podem aparecer apenas em logs de gerenciamento de virtualização, eventos de configuração, snapshots de inventário, trilhas de API ou registros de auditoria de vCenter. A investigação deve comparar mudanças de interface em VMs sensíveis com fluxos de rede para ambientes internos e SaaS, procurando pivôs que não passem por caminhos esperados. Regras temporárias de filtragem ou redirecionamento em appliances também devem ser tratadas como evidência de tentativa de mascarar acesso.
- Eventos de autenticação no Tomcat Manager do RecoverPoint e deploys administrativos inesperados no endpoint
/manager/text/deploy. - Presença ou histórico de web shell SLAYSTYLE em appliance RecoverPoint for Virtual Machines.
- Binários, serviços ou tarefas persistentes associados a BRICKSTORM ou GRIMBOLT, especialmente após setembro de 2025.
- Criação e remoção de interfaces virtuais temporárias em VMs, com correlação para tráfego interno ou SaaS.
- Conexões ou resolução de infraestrutura relacionada a IPs defangados 149.248.11[.]71, 140.82.18[.]134 e 66.42.111[.]219, quando compatível com a telemetria local.
- Alterações efêmeras em regras de filtragem, aceitação de IPs específicos e redirecionamento de tráfego entre portas 443 e 10443.
A primeira ação é remover a condição vulnerável com a atualização adequada ao ramo instalado. Ambientes em 6.0 até 6.0 SP3 P1 devem chegar a 6[.]0[.]3[.]1 HF1. Ambientes em 5.3 precisam seguir o caminho de migração ou atualização intermediária descrito para que a remediação seja aplicável. Em paralelo, o serviço deve permanecer restrito a uma rede interna confiável, com listas de acesso mínimas, segmentação entre zonas administrativas e bloqueio de exposição a redes públicas ou não confiáveis.
A correção isolada não encerra o caso quando há possibilidade de exploração desde 2024. Organizações que executaram versões vulneráveis devem tratar a situação como investigação de comprometimento potencial. O appliance precisa ser revisado em busca de web shells, binários substituídos, persistência, contas ou configurações inesperadas, além de tráfego de C2. Quando houver indício de BRICKSTORM ou GRIMBOLT, a contenção deve incluir isolamento controlado do appliance, preservação de evidências, coleta de logs de virtualização e validação de integridade antes de retorno à operação.
A resposta também deve cobrir camadas adjacentes. Como o operador usou Ghost NICs para pivô, a equipe deve revisar inventários históricos de rede virtual, alterações em vCenter, regras de firewall internas e fluxos para SaaS. Se a organização encontrar sinais de acesso persistente, a rotação de credenciais administrativas, chaves de integração e segredos acessíveis a partir de ambientes de virtualização deve ser considerada. A validação final precisa confirmar que não restaram regras temporárias de redirecionamento, interfaces ocultas por remoção rápida ou canais de administração acessíveis fora da zona esperada.
- Aplicar 6[.]0[.]3[.]1 HF1 ou seguir o caminho de atualização recomendado para versões 5.3 antes da remediação.
- Restringir RecoverPoint for Virtual Machines a rede interna controlada, com firewall e segmentação.
- Investigar histórico desde meados de 2024, incluindo Tomcat Manager, SLAYSTYLE, BRICKSTORM, GRIMBOLT e alterações de binários.
- Revisar eventos de criação e remoção de interfaces virtuais, principalmente em VMware vCenter e VMs com acesso a redes internas ou SaaS.
- Preservar evidências antes de limpeza, isolar sistemas com sinais de persistência e validar integridade do appliance após correção.
- Correlacionar telemetria de rede com IoCs defangados e perfis de certificado ou VPS quando houver tráfego compatível.
0 Comentários