Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Attacken auf VMs: Hacker nutzen fest kodierte Zugangsdaten in Dell-Tool aus

Dell hat in einem Back-up-Tool für virtuelle Maschinen Admin-Zugangsdaten zurückgelassen. Angreifer missbrauchen diese schon seit Mitte 2024.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Eine kritische Sicherheitslücke in einem Dell-Tool gefährdet virtuelle Maschinen. (Bild: Stefan Zaklin/Getty Images)
Eine kritische Sicherheitslücke in einem Dell-Tool gefährdet virtuelle Maschinen. Bild: Stefan Zaklin/Getty Images

Sicherheitsforscher der Google Threat Intelligence Group (GTIG) haben eine Angriffskampagne einer mutmaßlich vom chinesischen Staat unterstützten Hackergruppe aufgedeckt. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) bedienen sich die Angreifer schon seit Mitte 2024 einer kritischen Zero-Day-Lücke in Dell Recoverpoint for Virtual Machines, einer Back-up- und Recovery-Lösung für virtuelle Maschinen.

Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-22769(öffnet im neuen Fenster) . Sie betrifft Dell Recoverpoint for Virtual Machines in Versionen vor 6.0.3.1 HF1 und erreicht mit einem maximal möglichen CVSS-Wert von 10 einen kritischen Schweregrad. Den Angaben zufolge basiert die Lücke auf fest kodierten Zugangsdaten für einen Admin-Nutzer.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Ein Angreifer kann CVE-2026-22769 laut Schwachstellenbeschreibung ausnutzen, um einen unbefugten und persistenten Root-Zugriff auf das jeweilige Betriebssystem zu erlangen. Administratoren sollten angesichts der aktiven Ausnutzung zügig die gepatchte Version 6.0.3.1 HF1(öffnet im neuen Fenster) einspielen. Als alternativen Workaround hat Dell ein Skript bereitgestellt(öffnet im neuen Fenster) , das die Lücke schließt.

VMware-Systeme im Visier

Die Google-Forscher schreiben die beobachteten Attacken der Hackergruppe UNC6201 zu, deren Tools und Angriffstechniken Überschneidungen mit jenen von UNC5221 (auch bekannt als Silk Typhoon) haben sollen. Die Angreifer verschaffen sich laut Blogbeitrag durch einen noch unbekannten Angriffsvektor einen Erstzugriff auf anvisierte IT-Umgebungen und nutzen CVE-2026-22769 anschließend aus, um laterale Bewegungen auszuführen und Persistenz zu erlangen.

Zu den Tools der Angreifer zählen mehrere Malware-Varianten. Die Google-Forscher nennen diesbezüglich Slaystyle, Brickstorm und eine neuartige Backdoor-Malware namens Grimbolt. Im Visier der Angreifer stehen wohl primär VMware-Systeme. Für die Erkennung nützliche IoCs (Indicators of Compromise) sind am Ende des Google-Berichts(öffnet im neuen Fenster) zu finden.

Auch die US-amerikanischen Sicherheitsbehörden Cisa und NSA warnten erst im Dezember 2025 vor beobachteten Attacken auf VMware-Systeme , bei denen die Brickstorm-Malware zum Einsatz kam. Ob es eine direkte Verbindung zwischen diesen Vorfällen gibt, ist unklar. Crowdstrike schrieb die Angriffe im Dezember einer ebenfalls chinesischen Gruppierung namens Warp Panda zu.

Zur Startseite Kommentare

Relevante Themen

ChinaSoftwareToolsSecuritySicherheitslückeUpdates & PatchesCybercrimeHackerDell