Dell a publié en urgence un correctif de sécurité pour RecoverPoint for Virtual Machines (RP4VM). La raison : une faille de sécurité critique, liée à des identifiants codés en dur, est exploitée par un groupe de pirates depuis mi-2024. Voici ce que l’on sait.
Des identifiants codés en dur, une éternelle faiblesse
Cette nouvelle faille de sécurité, associée à la référence CVE-2026-22769 et à un score CVSS v3.1 de 10 sur 10, impacte le produit Dell RecoverPoint for Virtual Machines. Il s’agit d’une solution de reprise après incident développée par Dell et compatible avec les environnements virtualisés VMware.
“Ceci est considéré comme critique, car un attaquant distant non authentifié connaissant les informations d’identification codées en dur pourrait potentiellement exploiter cette vulnérabilité, ce qui conduirait à un accès non autorisé au système d’exploitation sous-jacent et à une persistance avec un accès root.”, précise Dell dans son bulletin de sécurité.
La divulgation de cette vulnérabilité a été accompagnée par un nouveau rapport publié conjointement par Mandiant et Google Threat Intelligence Group (GTIG). Il met en évidence un problème de sécurité dans l’intégration d’Apache Tomcat Manager au sein de l’appliance RP4VM. En effet, des identifiants par défaut pour le compte “admin” ont été conservés dans le fichier système de configuration suivant : /home/kos/tomcat9/tomcat-users.xml.
Pour l’attaquant, l’exploitation de cette vulnérabilité est simple. Il doit commencer par s’authentifier sur l’interface Tomcat Manager grâce à ces identifiants hardcodés, pour ensuite déployer un package WAR malveillant via le point de terminaison /manager/text/deploy. Suite à cette manipulation, il peut exécuter des commandes avec les privilèges root sur le système d’exploitation sous-jacent et en prendre le contrôle.
La compromission de cette appliance offre aux cybercriminels un accès privilégié au plus près de l’infrastructure de virtualisation, en particulier en environnement VMware. Ils peuvent donc ensuite effectuer des mouvements latéraux vers les machines virtuelles.
Le groupe UNC6201 exploite la faille depuis mi-2024
Cette vulnérabilité est présente depuis plusieurs années dans le produit RecoverPoint for Virtual Machines. Les investigations menées par Mandiant révèlent que cette faille importante serait d’ailleurs exploitée, depuis, à minima, la mi-2024.
“L’analyse des interventions en cas d’incident a révélé que UNC6201, un groupe de menaces soupçonné d’être lié à la République populaire de Chine, exploite cette faille depuis au moins mi-2024 pour se déplacer latéralement, maintenir un accès persistant et déployer des logiciels malveillants, notamment SLAYSTYLE, BRICKSTORM et une nouvelle porte dérobée suivie sous le nom de GRIMBOLT.”, peut-on lire dans le rapport.
Le groupe UNC6201, soutenu par la Chine, exploiterait cette vulnérabilité depuis près de deux ans. Les chercheurs expliquent que depuis septembre 2025, les anciens implants BRICKSTORM ont été remplacés par une nouvelle porte dérobée baptisée GRIMBOLT et développée en C#.
Pour corriger la faille CVE-2026-22769, un patch de sécurité a été publié par Dell. Cette faille impacte d’ailleurs toutes les versions de RecoverPoint for Virtual Machines antérieures à la 6.0.3.1 HF1. C’est donc bien la version 6.0.3.1 HF1 que vous devez installer.
Si vous ne pouvez pas patcher, Dell a publié un script de remédiation dans sa base de connaissance. Attention : les systèmes avec la version 5.3 SP4 P1 doivent obligatoirement migrer vers la 6.0 SP3, avant d’appliquer ensuite le nouveau correctif de sécurité.
“Les autres produits Dell, y compris RecoverPoint Classic (appareils physiques et virtuels), ne sont pas concernés par CVE-2026-22796.”, précise Dell.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.