Washington D.C. – Eine kritische Sicherheitslücke in Dell-Notfallwiederherstellungs-Software wird aktiv von mutmaßlich chinesischen Hackern ausgenutzt. Die US-Cybersicherheitsbehörde CISA zwingt Bundesbehörden nun zu einer Notfall-Patchung binnen 72 Stunden – ein äußerst kurzes Zeitfenster, das die Dringlichkeit unterstreicht.
Maximales Risiko: Root-Zugang durch Standard-Passwörter
Die Schwachstelle mit der Kennung CVE-2026-22769 betrifft Dell RecoverPoint for Virtual Machines (RP4VMs), eine weit verbreitete Lösung für Datensicherung und Disaster Recovery. Sie erreicht die Höchstpunktzahl von 10.0 auf der CVSS-Skala. Der Grund: Im System sind hartkodierte, nicht änderbare Standard-Anmeldedaten hinterlegt. Ein Angreifer kann sich damit aus der Ferne und ohne Berechtigung root-Zugriff auf das Betriebssystem des Appliances verschaffen.
Das macht die Software zum perfekten Einfallstor. Da RecoverPoint tief in Virtualisierungs- und Backup-Infrastrukturen integriert ist und mit erhöhten Rechten arbeitet, bietet eine Kompromittierung maximale Kontrolle. Angreifer könnten nicht nur sensible Daten stehlen, sondern auch die gesamte Wiederherstellungsfähigkeit nach einem Ransomware-Angriff sabotieren – ein Albtraum für jede IT-Sicherheit.
Staatlicher Angreifer nutzte Schwachstelle seit 2024
Die Gefahr ist nicht neu, sondern wurde lange übersehen. Laut Analysen der Google-Tochter Mandiant nutzt eine mutmaßlich chinesische, staatlich unterstützte Hackergruppe mit dem Kürzel UNC6201 diese Zero-Day-Lücke bereits seit Mitte 2024 aus. Die Gruppe, die auch mit der bekannten Silk Typhoon in Verbindung gebracht wird, zielt typischerweise auf Regierungsbehörden ab.
UNC6201 nutzte den Zugang, um sich in kompromittierten Netzwerken seitlich auszubreiten, dauerhaften Zugriff zu halten und hochentwickelte Schadsoftware zu platzieren. Dazu zählen die Backdoors SLAYSTYLE und BRICKSTORM sowie ein neuartiger, schwer zu analysierender Backdoor namens GRIMBOLT.
Drei-Tage-Frist für US-Behörden – Alle Unternehmen betroffen
Als Reaktion auf die Erkenntnisse hat Dell am 17. Februar eine Sicherheitswarnung mit Patches und einem Bereinigungsskript veröffentlicht. Ein Sprecher bestätigte „begrenzte aktive Ausnutzung“ und drängte alle Kunden zur sofortigen Umsetzung.
Die US-Behörde CISA ging einen Schritt weiter: Sie nahm die Lücke in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und erließ eine verbindliche Anweisung. Alle Bundesbehörden müssen ihre Systeme bis Samstag, den 21. Februar 2026, absichern. CISA appelliert jedoch auch an alle privaten und öffentlichen Organisationen weltweit, das Patchen höchste Priorität einzuräumen.
Langfristige Lehren: Proaktive Jagd statt reaktives Patchen
Der Fall zeigt ein gefährliches Muster: Hartkodierte Anmeldedaten bleiben ein leichtes Ziel für Angreifer. Dass die Lücke fast zwei Jahre lang unbemerkt ausgenutzt wurde, unterstreicht die Beharrlichkeit staatlicher Hacker.
Die fortschrittlichen Verschleierungstechniken von Malware wie GRIMBOLT belegen, dass die Methoden der Angreifer ständig evolvieren. Für Unternehmen bedeutet das: Neben zeitnahem Patch-Management sind proaktive Threat-Hunting-Programme und eine strikte Netzwerksegmentierung essenziell. Wer die betroffene Dell-Software nutzt, sollte von einem bereits erfolgten Angriff ausgehen und umgehend handeln.
Für IT‑Verantwortliche und Sicherheits-Teams, die nach dem RecoverPoint‑Vorfall sofort handeln müssen: Ein kostenloser Leitfaden erklärt aktuelle Cyber‑Security‑Awareness‑Trends, praxisnahe Sofortmaßnahmen gegen aktive Exploits und wie Sie mit geringem Aufwand Threat‑Hunting und Patch‑Management stärken. Der Report zeigt konkrete Schritte, mit denen auch kleine und mittlere IT‑Abteilungen ihre Angriffsfläche deutlich reduzieren können. Jetzt kostenlosen Cyber-Security-Guide herunterladen
