Dell-Sicherheitslücke: Staatliche Hacker nutzten Master-Passwort seit Jahren

Eine schwere Sicherheitslücke in einem weit verbreiteten Dell-Datenschutzprodukt wurde mindestens zwei Jahre lang aktiv ausgenutzt. Betroffen ist die Backup-Lösung RecoverPoint for Virtual Machines – mit potenziell verheerenden Folgen für Unternehmen.

Kritische Schwachstelle mit Höchstwertung

Die Sicherheitsforscher schlagen Alarm: In Dells Software für Datensicherung und Notfallwiederherstellung in VMware-Umgebungen steckte ein fest eingebautes Administratoren-Passwort. Die als CVE-2026-22769 geführte Lücke erhielt den maximalen Schweregrad von 10,0 auf der CVSS-Skala. Ein Angreifer, der dieses statische Passwort kennt, kann sich unautorisiert und aus der Ferne root-Zugriff auf das gesamte zugrundeliegende Betriebssystem verschaffen. Dell bestätigte den Fehler in einer Mitteilung vom 17. Februar 2026.

Die US-Cybersicherheitsbehörde CISA reagierte umgehend und nahm die Schwachstelle in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf. Für US-Behörden ist die Installation des Patches damit verpflichtend – ein deutliches Signal auch an die Privatwirtschaft.

Zwei Jahre unentdeckter Zugriff durch staatliche Akteure

Die Dimension des Problems wird erst jetzt klar: Laut detaillierten Berichten der Sicherheitsfirmen Mandiant und Google Threat Intelligence Group nutzte eine mutmaßlich mit China in Verbindung stehende Hackergruppe die Lücke bereits seit Mitte 2024 aus. Die als UNC6201 identifizierten Angreifer infiltrierten Unternehmensnetzwerke und verschafften sich so dauerhaften Zugang.

Einmal im System, bewegten sie sich lateral durch die Netzwerke und installierten Schadsoftware. Dazu gehörten bekannte Backdoors wie SLAYSTYLE und BRICKSTORM. Besonders besorgniserregend: Seit Ende 2025 setzt die Gruppe einen neuen, raffinierteren Backdoor namens GRIMBOLT ein. Dieser in C## geschriebene Schadcode ist durch spezielle Kompilierungstechniken besonders schwer zu analysieren und zu entdecken.

Die Angreifer nutzten die Schwachstelle in dem Dell-Produkt als zuverlässiges Werkzeug, um nach einem initialen Eindringen – etwa über VPN-Geräte – tiefe und anhaltende Kontrolle zu erlangen.

Dringende Handlungsempfehlungen für alle Nutzer

Dell fordert alle Kunden der betroffenen Versionen (älter als 6.0.3.1 HF1) auf, sofort ein Update durchzuführen. Für Systeme, die nicht sofort aktualisiert werden können, stellt der Konzern ein Skript zur Behebung der Schwachstelle bereit. Ein Sprecher bestätigte „begrenzte aktive Ausnutzung“ und mahnte zur Eile.

Unternehmen sollten jetzt nicht nur patchen, sondern ihre gesamte IT‑Sicherheitsstrategie prüfen — von Erkennung und Monitoring bis zu Mitarbeiterschulungen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst die aktuellen Bedrohungen, praxisnahe Schutzmaßnahmen und kurzfristig umsetzbare Schritte zusammen, mit denen Sie das Risiko durch gezielte Backdoors und laterale Bewegungen deutlich senken können. Ideal für IT‑Leiter und Entscheider, die ohne große Investitionen handfeste Verbesserungen erreichen wollen. Jetzt gratis Cyber‑Security-Guide herunterladen

Sicherheitsexperten von Mandiant fanden die Schwachstelle bisher in den Systemen von weniger als einem Dutzend Organisationen. Sie warnen jedoch: Jedes Unternehmen, das bereits Ziel von BRICKSTORM-Malware war, sollte proaktiv nach dem neueren GRIMBOLT-Backdoor suchen.

Das grundsätzliche Problem: Feste Passwörter im Code

Der Vorfall wirft ein grelles Licht auf ein altbekanntes Sicherheitsproblem: Hardcoded Credentials, also fest in den Quellcode eingebaute Zugangsdaten. Diese Praxis wird von Sicherheitsexperten scharf kritisiert, kommt in kommerzieller Software aber immer wieder vor.

Oft handelt es sich um interne oder Support-Accounts, die vor dem Ausliefern des Produkts nicht entfernt oder konfigurierbar gemacht wurden. Solche „Altlasten“ werden bei Sicherheitsüberprüfungen leicht übersehen, die sich eher auf kundenorientierte Login-Systeme konzentrieren. Die Konsequenz ist fatal: Wer das Passwort entdeckt, hat einen Generalschlüssel zum System – und umgeht alle konventionellen Sicherheitsmaßnahmen.

Lehren für die Software-Sicherheit

Für betroffene Unternehmen ist die oberste Priorität klar: Patchen und die Systeme gründlich auf Kompromittierungen untersuchen. Der Fall unterstreicht die kritische Bedeutung einer robusten Sicherheit in der gesamten Software-Lieferkette.

Die Cybersecurity-Community fordert erneut konsequente Secure-Coding-Praktiken und die strikte Trennung von Code und sensiblen Daten. Moderne Lösungen wie digitale Tresore oder dynamische, temporäre Zugangsdaten müssen Standard werden. Diese Lücke bei Dell zeigt auf schmerzhafte Weise: Sicherheit bedeutet nicht nur, die Grenzen zu schützen, sondern auch sicherzustellen, dass die digitalen Schlüssel zum Königreich nicht versehentlich im Code liegen bleiben.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.