Киберзащитники Дяди Сэма дали федеральным ведомствам всего три дня на исправление критической уязвимости Dell, которая активно использовалась злоумышленниками как минимум с середины 2024 года.
На этой неделе CISA добавила уязвимость, известную как CVE-2026-22769, в свой каталог известных эксплуатируемых уязвимостей, предписав гражданским ведомствам обезопасить затронутые системы к 21 февраля — предоставив им всего три дня на установку исправлений.
«Эти типы уязвимостей являются частыми векторами атак для злонамеренных киберагентов и представляют значительный риск для федеральных предприятий», — предупредило CISA, подчеркивая срочность необычайно сжатых сроков устранения.
Ошибка затрагивает Dell RecoverPoint for Virtual Machines и связана с жестко закодированными учетными данными, которые могут позволить злоумышленникам получить несанкционированный доступ. Dell раскрыла и исправила проблему ранее на этой неделе, отметив, что преступники уже использовали ее до появления исправления.
«Мы получили сообщение об ограниченной активной эксплуатации данной уязвимости», — сообщил тогда представитель Dell изданию The Register, настоятельно призвав клиентов незамедлительно принять рекомендуемые меры смягчения.
Исследователи сообщают, что ошибка быстро попала в более широкий арсенал шпионских инструментов, связанный с предполагаемыми операторами, связанными с Китаем. По данным команды реагирования на инциденты Google Mandiant, злоумышленники использовали уязвимость как минимум с середины 2024 года для горизонтального перемещения по сетям, поддержания персистентности и развертывания ряда семейств вредоносных программ.
Среди обнаруженных в дикой природе инструментов — бэкдор Brickstorm и новый имплант Grimbolt, который в некоторых случаях заменил собой старое вредоносное ПО. Исследователи также заметили, что злоумышленники создают так называемые “Ghost NICs” на виртуальных машинах для тихого перемещения по скомпрометированным средам, не вызывая срабатывания сигнализации.
Кластер, отслеживаемый как UNC6201, использовал эту уязвимость для развертывания нескольких полезных нагрузок, включая Slaystyle, Brickstorm и Grimbolt, во время продолжительных вторжений, согласно данным Mandiant. Компания сообщает, что пока ей известно менее дюжины подтвержденных жертв, хотя реальное число может быть выше.
Mandiant утверждает, что эта активность имеет некоторые общие черты с Silk Typhoon, шпионской группой, поддерживаемой китайским государством, известной своими атаками на правительственные учреждения и ранее связанной с утечками данных с использованием пользовательского вредоносного ПО. Группа неоднократно использовала уязвимости нулевого дня для взлома конфиденциальных сетей, включая федеральные системы США.
Последнее предписание продолжает череду быстрых приказов об установке патчей от CISA, поскольку агентство пытается сократить окно между раскрытием информации об активно эксплуатируемых уязвимостях и их устранением. Всего на прошлой неделе агентство так же дало федеральным ведомствам три дня на закрытие уязвимостей в BeyondTrust Remote Support, связанных с удаленным выполнением кода.
Когда CISA помещает уязвимость в список KEV с трехдневным сроком, это скорее не мягкое напоминание, а мигающий неоновый знак, гласящий: «исправляйте сейчас, вопросы потом». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
