Dell-Sicherheitslücke: Chinesische Spionagegruppe nutzt Zero-Day seit 2024

Eine kritische Zero-Day-Lücke in Dells Unternehmenssoftware für Datensicherung wird seit Mitte 2024 von einer mutmaßlich chinesischen Spionagegruppe aktiv ausgenutzt. Der Fehler mit der höchsten Gefahrenstufe 10,0 ermöglicht Angreifern den vollständigen Zugriff auf Backup-Systeme – ein „Kronjuwel“ für hoch entwickelte Cyber-Akteure.

Das geht aus einem neuen Bericht der Sicherheitsforscher von Mandiant und der Google Threat Intelligence Group (GTIG) hervor, der diese Woche veröffentlicht wurde. Sie führen die Angriffe auf die Bedrohungsgruppe UNC6201 zurück. Diese nutzte die Schwachstelle, um neue Schadsoftware zu platzieren und sich dauerhaft in den Netzwerken der Opfer einzunisten.

Die Enthüllung fällt mit einer dringenden Sicherheitswarnung von Dell und einer Anordnung der US-Cybersicherheitsbehörde CISA zusammen. Diese nahm die Lücke am Mittwoch in ihren Katalog bekannter, ausgenutzter Schwachstellen auf.

Die „perfekte“ Schwachstelle CVE-2026-22769

Die als CVE-2026-22769 geführte Sicherheitslücke betrifft Dell RecoverPoint for Virtual Machines. Diese weit verbreitete Lösung für Disaster Recovery und kontinuierlichen Datenschutz wird in VMware-Umgebungen eingesetzt. Laut Dell-Bulletin vom 17. Februar handelt es sich um eine „Schwachstelle durch fest codierte Anmeldedaten“ in Versionen vor 6.0.3.1 HF1.

Experten zufolge stammt der Fehler aus administrativen Zugangsdaten, die direkt in den Apache-Tomcat-Konfigurationsdateien des Systems hinterlegt sind. Konkret fanden Forscher Standard-Anmeldedaten in der Datei tomcat-users.xml. Mit diesen statischen Zugangsdaten kann sich ein Angreifer ohne Authentifizierung remote beim Tomcat-Manager anmelden, bösartige WAR-Dateien einspielen und Befehle mit Root-Rechten ausführen.

Die Einfachheit des Angriffs kombiniert mit dem hohen Zugriffslevel führte zum maximalen CVSS-Score von 10,0. Dies bedeutet, dass die Lücke remote ausnutzbar ist, keine Benutzerinteraktion erfordert und zu einem vollständigen Verlust der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führt.

UNC6201: Eine lautlose Kampagne im Hintergrund

Obwohl die Schwachstelle erst diese Woche öffentlich bekannt wurde, zeigen die Ermittlungen, dass UNC6201 sie seit fast zwei Jahren heimlich ausnutzt. Die frühesten Spuren datieren auf Mitte 2024 zurück – es handelt sich also um eine lang andauernde Zero-Day-Kampagne.

UNC6201 wird als mutmaßlich mit China in Verbindung stehende Bedrohungsgruppe beschrieben, mit möglichen Verbindungen zu anderen bekannten Gruppen wie UNC5221 (auch Silk Typhoon). Ihr Vorgehen konzentriert sich auf Tarnung und Langzeit-Spionage, oft durch Angriffe auf Edge-Geräte, die üblicherweise weniger robuste Endpunkt-Erkennung haben.

Eine der ausgeklügelsten beobachteten Techniken ist die Erstellung von „Geister-NICs“ (Netzwerkschnittstellen). Nachdem die Angreifer Root-Zugriff auf die RecoverPoint-Geräte erlangt hatten, erstellten sie versteckte Netzwerkschnittstellen auf den zugrunde liegenden VMware-ESXi-Servern. Diese Phantom-Schnittstellen ermöglichten es UNC6201, sich lateral in der virtualisierten Umgebung zu bewegen und Daten abzuschöpfen, während Standard-Netzwerküberwachungstools umgangen wurden.

GRIMBOLT: Ein neues Arsenal an Schadsoftware

Der Bericht zeigt eine bedeutende Weiterentwicklung im Werkzeugkasten der Angreifer. In früheren Phasen der Kampagne verließ sich UNC6201 auf ein in Go geschriebenes Backdoor namens BRICKSTORM. Seit September 2025 beobachten Forscher jedoch einen strategischen Wechsel zu einem neuen, fortschrittlicheren Backdoor mit dem Namen GRIMBOLT.

GRIMBOLT ist in C## geschrieben und nutzt native Ahead-of-Time (AOT)-Kompilierung. Diese moderne Kompilierungstechnik übersetzt den Code direkt in Maschinensprache, anstatt in die typische Zwischensprache von .NET-Anwendungen. Analysten gehen davon aus, dass dies die Reverse-Engineerung für Verteidiger erheblich erschwert und die Leistung der Malware auf ressourcenbeschränkten Geräten verbessert.

Zusammen mit GRIMBOLT setzten die Angreifer eine Web Shell namens SLAYSTYLE ein. Dieses Werkzeug wurde über die kompromittierte Tomcat-Manager-Oberfläche hochgeladen und diente als erste Brücke, um beliebige Befehle auszuführen und weitere Schadlasten zu platzieren.

Dringende Gegenmaßnahmen und Reaktion der Industrie

Als Reaktion auf diese Erkenntnisse hat Dell ein kritisches Patch-Update, Version 6.0.3.1 HF1, veröffentlicht. Dieses entfernt die fest codierten Anmeldedaten und behebt die Schwachstelle. Für Organisationen, die nicht sofort aktualisieren können, hat der Anbieter ein Skript bereitgestellt, das die betroffenen Konfigurationsdateien manuell sichert.

Die Aufnahme von CVE-2026-22769 in den CISA-Katalog verpflichtet US-Bundesbehörden gesetzlich, das Sicherheitsupdate innerhalb von typischerweise drei Wochen einzuspielen. Die Behörde drängte alle Organisationen – öffentliche wie private – dazu, dieses Update zu priorisieren. Grund sind die aktive Ausnutzung und der hohe Wert der angegriffenen Systeme.

Für Unternehmen, die sich gegen genau solche Angriffe wappnen wollen, gibt es ein kostenloses E-Book mit aktuellen Cyber‑Security‑Awareness‑Trends und praktischen Schutzmaßnahmen. Es erklärt, wie Sie Scan‑Aktivitäten erkennen, Backup‑Infrastrukturen härten und Incident‑Response‑Pläne testen — ideal für IT‑Verantwortliche und Sicherheitsteams. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Branchenanalysten betonen, dass Backup- und Disaster-Recovery-Systeme für staatlich geförderte Akteure und Ransomware-Gruppen gleichermaßen attraktive Ziele werden. Ein Kompromittieren dieser Systeme verschafft nicht nur Zugang zu sensiblen historischen Daten, sondern ermöglicht es Angreifern auch, Wiederherstellungsfähigkeiten zu zerstören. Ein Kompromittieren dieser Systeme verschafft nicht nur Zugang zu sensiblen historischen Daten, sondern ermöglicht es Angreifern auch, Wiederherstellungsfähigkeiten zu zerstören. Das erhöht den Druck in Erpressungsszenarien oder stellt die Endgültigkeit von Zerstörungsangriffen sicher.

Was bedeutet das für deutsche Unternehmen?

Die Entdeckung von CVE-2026-22769 unterstreicht das anhaltende Risiko durch „Secure-by-Design“-Fehler wie fest codierte Anmeldedaten in Unternehmenssoftware. Sicherheitsforscher rechnen damit, dass die öffentliche Bekanntgabe dieser Angriffskette zu einem Anstieg von Scan-Aktivitäten durch andere Bedrohungsakteure führen wird, die ungepatchte Systeme ausnutzen wollen.

Organisationen, die Dell RecoverPoint for Virtual Machines nutzen, sollten davon ausgehen, dass ihre Geräte kompromittiert sein könnten, wenn sie vom Internet aus erreichbar waren oder von kompromittierten internen Netzsegmenten aus zugänglich waren. Incident-Response-Teams empfehlen, nach Indikatoren für einen Kompromittierung zu suchen. Dazu gehören die Präsenz der SLAYSTYLE-Web Shell, unerwartete Änderungen an Tomcat-Konfigurationsdateien oder anomale Netzwerkverbindungen, die von Backup-Geräten ausgehen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.