La vulnerabilidad CVE-2026-22769 (CVSS 10.0) en Dell RecoverPoint for Virtual Machines se ha explotado como zero-day desde mediados de 2024, según el análisis citado en la noticia. El fallo se basa en credenciales hardcodeadas en Apache Tomcat Manager, lo que puede permitir acceso remoto no autenticado, despliegue de webshells y persistencia con privilegios de root; Dell ya ha publicado una corrección en 6.0.3.1 HF1 y CISA la ha incorporado a KEV.
Una vulnerabilidad de gravedad máxima, identificada como CVE-2026-22769 y puntuada con CVSS 10.0, afecta a Dell RecoverPoint for Virtual Machines (la edición orientada a entornos virtualizados de una solución de backup y disaster recovery). La información disponible indica que el fallo no es solo teórico: se habría estado explotando activamente como zero-day desde mediados de 2024, lo que eleva de forma significativa la urgencia de parcheo y de revisión de posibles compromisos.
El problema se describe como una credencial hardcodeada asociada a Apache Tomcat Manager. En la práctica, disponer de esa credencial permitiría a un atacante remoto acceder a componentes de administración y abusar de funciones típicas del Tomcat Manager –como el despliegue de aplicaciones– para cargar contenido malicioso. En el escenario descrito, el abuso del endpoint /manager/text/deploy facilitaría el despliegue de una webshell (se menciona SLAYSTYLE), un paso habitual para convertir un acceso puntual en control interactivo del sistema.
A partir de esa primera intrusión, el impacto puede escalar rápidamente. Dell advierte de que el atacante podría llegar al sistema operativo subyacente y lograr persistencia con privilegios de root, lo que convierte a la plataforma en un punto especialmente sensible: al tratarse de infraestructura ligada a copias de seguridad y recuperación, su compromiso puede afectar a la resiliencia de la organización y a su capacidad de restauración tras incidentes.
La actividad se atribuye a UNC6201, un cluster de espionaje al que se le asocia un vínculo con China, según las referencias citadas por el artículo. Tras la fase de webshell, se señala el despliegue de backdoors como BRICKSTORM y una variante más reciente denominada GRIMBOLT, descrita como más compleja de analizar por su implementación (por ejemplo, C# compilado a native AOT). Aunque se habla de ‘menos de una docena’ de organizaciones conocidas como afectadas y de un foco principal en Norteamérica, también se remarca que el alcance real podría ser mayor.
En cuanto al alcance técnico, el aviso diferencia productos: RecoverPoint Classic se indica como no vulnerable, mientras que RecoverPoint for Virtual Machines es el afectado en versiones anteriores a 6.0.3.1 HF1 (con múltiples ramas 5.3 y 6.0 mencionadas). Dell ha publicado una corrección en 6.0.3.1 HF1 y propone rutas de actualización/migración según la versión de partida (por ejemplo, migraciones desde ramas 5.3 a 6.x antes de aplicar el hotfix).
Además, CISA ha añadido CVE-2026-22769 a su catálogo KEV (Known Exploited Vulnerabilities), lo que formaliza que existe explotación en el mundo real y empuja a priorizar la remediación. Para defensas, el mensaje es doble: parchear cuanto antes y, si el sistema ha estado expuesto o sin corregir desde 2024, tratarlo como potencialmente comprometido, revisando despliegues en Tomcat, rastros de webshells, y aplicando medidas de contención como segmentación, restricción de acceso y despliegue exclusivamente en red interna ‘trusted’, tal y como recomienda el propio fabricante.
Más información
La entrada Explotación activa de un 0-day crítico en Dell RecoverPoint for VMs por credenciales hardcodeadas se publicó primero en Una Al Día.
