Dell-Notfallsoftware: US-Behörden müssen in 72 Stunden patchen

Die US-Cybersicherheitsbehörde CISA zwingt Bundesbehörden zu einer Notfall-Reparatur einer kritischen Schwachstelle in Dell RecoverPoint for Virtual Machines. Die Frist endet morgen – ein beispiellos kurzes Zeitfenster, das die akute Gefahr unterstreicht. Hinter den Angriffen werden mutmaßlich chinesische Staatshacker vermutet.

Schwere Lücke in Virtualisierungs-Software

Die Sicherheitslücke mit der Kennung CVE-2026-22769 betrifft Dells Lösung für Datensicherung und Notfallwiederherstellung in VMware-Umgebungen. Das Kernproblem: Hartkodierte Zugangsdaten sind im System hinterlegt. Ein Angreifer kann diese wie einen Generalschlüssel nutzen, um sich ohne Authentifizierung root-Zugriff auf das Betriebssystem zu verschaffen.

„Solche Schwachstellen sind extrem gefährlich“, erklärt ein Sicherheitsexperte. „Sie erfordern keine komplizierte Ausnutzungstechnik, sondern bieten einen direkten Weg ins Herz der IT-Infrastruktur.“ Die CISA stufte das Risiko so hoch ein, dass sie am Mittwoch eine bindende Anweisung an alle US-Bundesbehörden herausgab: Bis Samstag, den 21. Februar, müssen die Systeme gepatcht sein.

Aktive Angriffe durch mutmaßliche Staatshacker

Die Eile ist begründet. Die Schwachstelle wird bereits aktiv von der mutmaßlich chinesischen Hackergruppe UNC6201 ausgenutzt. Laut Analysen von Mandiant und Google nutzt die Gruppe das Loch seit Mitte 2024 für Spionageangriffe.

Einmal im Netzwerk, bewegen sich die Angreifer lateral fort und installieren eine ausgeklügelte Schadsoftware-Suite. Dazu gehört neben bekannten Tools wie Brickstorm auch ein neu identifizierter Backdoor namens Grimbolt. Diese Malware nutzt fortschrittliche Kompilierungstechniken, um die Analyse zu erschweren – ein Zeichen für die wachsenden Fähigkeiten der Angreifer.

Die gezielte Attacke auf Virtualisierungs- und Disaster-Recovery-Plattformen ist strategisch klug. Sie erlaubt es den Hackern, sich tief in der IT-Infrastruktur zu verankern und dort lange unentdeckt zu bleiben. Die Geschäftskontinuität ganzer Unternehmen steht damit auf dem Spiel.

Drei-Tage-Frist: Ein neuer CISA-Kurs?

Die 72-Stunden-Frist ist außergewöhnlich. Normalerweise gewährt die CISA den Behörden zwei Wochen bis einen Monat Zeit für Patches. Es ist bereits der zweite Vorfall dieser Art innerhalb weniger Wochen, was auf eine strategische Verschärfung hindeutet.

Dell hat ein Update auf Version 6.0.3.1 HF1 bereitgestellt. Für Organisationen, die nicht sofort patchen können, bietet der Konzern ein Skript zur Entfernung der hartkodierten Zugangsdaten an. Die endgültige Lösung bleibt aber das vollständige Software-Update.

Für den Privatsektor, insbesondere Betreiber kritischer Infrastrukturen, gilt die dringende Empfehlung, sofort zu handeln. Auch wenn die bindende Anweisung nur US-Behörden betrifft, ist die Bedrohungslage global.

Die aktuelle Alarmstufe macht klar, wie schnell Angreifer über hartkodierte Zugangsdaten und Backdoors wie Grimbolt in Systeme eindringen. Wer seine Infrastruktur jetzt schützen will, findet im kostenlosen E-Book „Cyber Security Awareness Trends“ kompakte Sofortmaßnahmen (Patch-Management, Log-Analyse, Erkennungsregeln) sowie praxisnahe Strategien zur Stärkung der IT ohne teure Neueinstellungen. Ideal für IT-Verantwortliche und Entscheider, die Bedrohungen früh erkennen und abwehren wollen. Jetzt gratis Cyber-Security-Guide herunterladen

Langfristige Folgen und Handlungsempfehlungen

Die Entdeckung der monatelang ausgenutzten Schwachstelle wirft ein grelles Licht auf die Angreifbarkeit von Unternehmenssoftware. Viele Organisationen könnten bereits kompromittiert sein, ohne es zu wissen.

Sicherheitsexperten raten betroffenen Unternehmen zu einem dreistufigen Vorgehen: sofortiges Patchen, eine gründliche Überprüfung der System-Logs auf Indikatoren für eine Kompromittierung durch UNC6201 und die Suche nach der Grimbolt-Malware.

Der Vorfall markiert einen Trend. Angreifer fokussieren sich zunehmend auf „Edge“-Geräte und Infrastruktur-Software mit hohen Privilegien. Die einfache, aber verheerende Attacke über hartkodierte Zugangsdaten dürfte auch 2026 ein großes Thema bleiben – und die CISA zu weiteren Kurzzeit-Ultimaten zwingen.