ช่องโหว่ Zero-Day CVE-2026-22769 ใน Dell RecoverPoint for VMs ถูกใช้ประโยชน์มาตั้งแต่กลางปี 2024

ช่องโหว่ความปลอดภัยระดับความรุนแรงสูงสุด (CVE-2026-22769) ใน Dell RecoverPoint for Virtual Machines ได้ถูกกลุ่มภัยคุกคาม UNC6201 ซึ่งต้องสงสัยว่าเกี่ยวข้องกับจีน ใช้ประโยชน์ในฐานะ Zero-Day ตั้งแต่กลางปี 2024 ช่องโหว่นี้เกิดจากรหัสยืนยันตัวตนที่ถูกฝังไว้ (hard-coded credentials) ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการยืนยันตัวตนสามารถเข้าถึงระบบปฏิบัติการและติดตั้งแบ็คดอร์ GRIMBOLT และ BRICKSTORM ได้ Google Mandiant และ Google Threat Intelligence Group (GTIG) รายงานกิจกรรมนี้ โดยเน้นย้ำถึงการใช้ ‘Ghost NICs’ เพื่อหลีกเลี่ยงการตรวจจับและการพุ่งเป้าไปที่อุปกรณ์ที่ขาด EDR ขณะนี้มีแพตช์แก้ไขแล้ว และ Dell แนะนำให้ติดตั้ง RecoverPoint ภายในเครือข่ายภายในที่เชื่อถือได้และมีการแบ่งส่วนเครือข่ายที่เหมาะสม

Severity: วิกฤต

System Impact:

• Dell RecoverPoint for Virtual Machines (ทุกเวอร์ชันก่อน 6.0.3.1 HF1)
• Apache Tomcat Manager Instance (เกี่ยวข้องกับรหัสยืนยันตัวตน ‘admin’ ที่ถูกฝังไว้)
• อุปกรณ์ VMware vCenter (ถูกใช้เป็นจุดหมุนในการโจมตี)
• Edge Appliances (เป้าหมายทั่วไปของกลุ่มภัยคุกคาม)
• ภาคส่วนไฟฟ้าและน้ำมันและก๊าซ (เกี่ยวข้องกับกลุ่ม Volt Typhoon/Voltzite ซึ่งเป็นกลุ่มที่เกี่ยวข้อง)
• สถานีงานวิศวกรรม (ถูกโจมตีโดย Volt Typhoon/Voltzite)

Technical Attack Steps:

1. ใช้ประโยชน์จาก CVE-2026-22769: ใช้รหัสยืนยันตัวตน ‘admin’ ที่ถูกฝังไว้สำหรับอินสแตนซ์ Apache Tomcat Manager ใน Dell RecoverPoint for VMs
2. เข้าถึงโดยไม่ได้รับอนุญาต: ยืนยันตัวตนกับ Dell RecoverPoint Tomcat Manager
3. ปรับใช้เว็บเชลล์: อัปโหลดเว็บเชลล์ชื่อ SLAYSTYLE ผ่านจุดสิ้นสุด ‘/manager/text/deploy’
4. ดำเนินการคำสั่ง: รันคำสั่งในฐานะผู้ดูแลระบบ (root) บนอุปกรณ์
5. ปรับใช้แบ็คดอร์: ติดตั้งแบ็คดอร์ BRICKSTORM และต่อมา GRIMBOLT
6. หลบเลี่ยงการตรวจจับ: ใช้เครือข่ายเสมือนชั่วคราว (‘Ghost NICs’) เพื่อเปลี่ยนจาก VM ที่ถูกบุกรุกไปยังสภาพแวดล้อมภายในหรือ SaaS จากนั้นลบ NICs เพื่ออำพรางร่องรอย
7. การจัดการไฟร์วอลล์ (iptables): ดำเนินการคำสั่ง iptable เพื่อตรวจสอบทราฟฟิกขาเข้าบนพอร์ต 443 สำหรับสตริง HEX ที่เฉพาะเจาะจง เพิ่มที่อยู่ IP ต้นทางของทราฟฟิกนั้นลงในรายการ และหาก IP อยู่ในรายการและเชื่อมต่อกับพอร์ต 10443 การเชื่อมต่อจะถูกยอมรับ จากนั้นจะเปลี่ยนเส้นทางทราฟฟิกไปยังพอร์ต 443 ไปยังพอร์ต 10443 เป็นเวลา 300 วินาทีโดยอัตโนมัติหาก IP อยู่ในรายการที่อนุมัติ
8. พุ่งเป้าไปที่อุปกรณ์ที่ขาด EDR: เน้นระบบที่ไม่มีเอเจนต์ Endpoint Detection and Response (EDR) แบบดั้งเดิม เพื่อให้สามารถอยู่รอดได้นานโดยไม่ถูกตรวจจับ
9. การพัฒนาของมัลแวร์: เปลี่ยนไบนารี BRICKSTORM เก่าด้วย GRIMBOLT ซึ่งเป็นแบ็คดอร์ C# ที่คอมไพล์ด้วย AOT เพื่อปรับปรุงการหลบเลี่ยงและลดร่องรอยทางนิติวิทยาศาสตร์

Recommendations:

Short Term:

• ใช้แพตช์ทันที: อัปเกรด Dell RecoverPoint for Virtual Machines เป็นเวอร์ชัน 6.0.3.1 HF1 หรืออัปเกรดเวอร์ชัน 5.3 SP4, 5.3 SP3, 5.3 SP2, และเวอร์ชันก่อนหน้า เป็น 5.3 SP4 P1 หรือ 6.x และใช้การแก้ไขที่จำเป็น
• ติดตั้งภายในเครือข่ายที่เชื่อถือได้: ตรวจสอบให้แน่ใจว่า RecoverPoint for VMs ถูกปรับใช้ภายในเครือข่ายภายในที่เชื่อถือได้และมีการควบคุมการเข้าถึง
• การแบ่งส่วนเครือข่าย: ปกป้องด้วยไฟร์วอลล์และการแบ่งส่วนเครือข่ายที่เหมาะสม
• ห้ามใช้ในเครือข่ายที่ไม่น่าเชื่อถือ/สาธารณะ: Dell RecoverPoint for VMs ไม่ได้มีไว้สำหรับการใช้งานในเครือข่ายที่ไม่น่าเชื่อถือหรือสาธารณะ

Long Term:

• ใช้โซลูชัน EDR: เสริมสร้างความสามารถในการตรวจจับบนระบบที่สำคัญ โดยเฉพาะอย่างยิ่งระบบที่ขาด EDR แบบดั้งเดิม
• การตรวจสอบความปลอดภัยอย่างสม่ำเสมอ: ดำเนินการตรวจสอบรหัสยืนยันตัวตนที่ถูกฝังและกำหนดค่าที่ไม่ปลอดภัย
• ตรวจสอบ Ghost NICs: ใช้การตรวจสอบกิจกรรมของอินเทอร์เฟซเครือข่ายเสมือนที่ไม่ปกติ
• การรวมข้อมูลภัยคุกคาม: อัปเดตข้อมูลเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTPs) ของผู้ก่อภัยคุกคามอย่างต่อเนื่อง
• รักษาความปลอดภัยสภาพแวดล้อมเสมือนจริง: เสริมสร้างการควบคุมความปลอดภัยสำหรับ VMware vCenter และแพลตฟอร์มการจำลองเสมือนอื่นๆ
• การวางแผนการรับมือเหตุการณ์: พัฒนาและทดสอบแผนการรับมือเหตุการณ์สำหรับช่องโหว่ Zero-Day อย่างสม่ำเสมอ

Source: https://thehackernews.com/2026/02/dell-recoverpoint-for-vms-zero-day-cve.html