В мире корпоративной инфраструктуры, где непрерывность бизнеса является краеугольным камнем, средства аварийного восстановления и резервного копирования занимают особое место. Между тем, именно в таком критически важном программном обеспечении от одного из крупнейших вендоров была обнаружена уязвимость максимальной степени опасности. Речь идет о продукте Dell RecoverPoint for Virtual Machines (RPVM), предназначенном для защиты виртуальных сред. Уязвимость, получившая идентификатор CVE-2026-22769, уже эксплуатируется злоумышленниками и ставит под угрозу безопасность тысяч компаний по всему миру, использующих устаревшие версии этого решения.
Детали уязвимости
Суть проблемы заключается в классической, но от этого не менее опасной ошибке разработки - использовании жёстко заданных учётных данных (hard-coded credentials). Это означает, что в код программного обеспечения были вшиты имя пользователя и пароль, известные разработчикам. Поскольку эти данные оставались неизменными во всех установленных копиях продукта, любой, кто узнал их, мог получить доступ к системе. В случае с RPVM знание этих учётных данных позволяет неавторизованному удалённому злоумышленнику, не обладающему никакими привилегиями, выполнить атаку. Успешная эксплуатация приводит к несанкционированному доступу к базовой операционной системе с правами суперпользователя (root) и последующему закреплению в системе (persistence), что даёт злоумышленнику полный и постоянный контроль над устройством.
Важно подчеркнуть, что, согласно заявлению Dell, компания уже получила от специалистов Google и Mandiant информацию об ограниченной активной эксплуатации этой уязвимости в реальных атаках. Это переводит инцидент из теоретической плоскости в практическую, требуя немедленных действий от всех затронутых организаций. Критичность уязвимости подтверждается и её максимальной оценкой по шкале CVSS (Common Vulnerability Scoring System - система оценки уязвимостей) - 10.0 баллов из 10.0. Вектор атаки (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) указывает на то, что для эксплуатации не требуется взаимодействие с пользователем, сложность атаки низкая, а последствия затрагивают не только сам целевой компонент, но и все связанные с ним системы, приводя к полной компрометации конфиденциальности, целостности и доступности данных.
Под угрозой находятся практически все версии RecoverPoint for Virtual Machines, выпущенные до обновления 6.0.3.1 HF1. В частности, это версии 5.3 SP4 P1, а также все основные выпуски линейки 6.0.x, включая 6.0, 6.0 SP1, SP2, SP3 и их промежуточные патчи (P1, P2). Более того, Dell указывает, что потенциально затронутыми могут быть и более ранние версии, такие как 5.3 SP4, SP3 и SP2. Это говорит о том, что уязвимость могла существовать в кодовой базе продукта на протяжении нескольких лет. В свою очередь, другие продукты линейки RecoverPoint, включая классические физические и виртуальные устройства (RecoverPoint Classic), данной проблеме не подвержены.
Последствия успешной атаки через эту уязвимость могут быть катастрофическими для организации. Поскольку RPVM имеет привилегированный доступ ко всей инфраструктуре виртуальных машин для создания резервных копий и их восстановления, компрометация этого компонента открывает злоумышленникам путь к полному контролю над виртуальной средой. Это создаёт риск остановки критически важных сервисов, хищения конфиденциальных данных, шифрования информации программами-вымогателями (ransomware) или скрытого шпионажа. Учитывая, что подобные системы обычно развёрнуты в защищённом внутреннем контуре сети, их взлом также может служить трамплином для дальнейшего продвижения злоумышленников вглубь корпоративной инфраструктуры.
Компания Dell предлагает два основных пути устранения уязвимости. Первый и наиболее рекомендуемый - это немедленное обновление продукта до версии 6.0.3.1 HF1. Для пользователей, которые по каким-либо причинам не могут выполнить обновление немедленно, доступен временный сценарий устранения рисков (remediation script), подробные инструкции по применению которого опубликованы в базе знаний Dell под идентификатором DSA-2026-079. Для клиентов, использующих очень старую версию 5.3 SP4 P1, требуется предварительная миграция на версию 6.0 SP3 с последующим применением патча. Между тем, Dell настоятельно рекомендует разворачивать RecoverPoint for Virtual Machines только в доверенных, контролируемых сегментах внутренней сети, защищённых межсетевыми экранами и сегментацией, что является стандартной практикой для критически важных систем управления.
Обнаружение этой уязвимости, за что Dell благодарит исследователя Питера Уханова из Google/Mandiant, в очередной раз демонстрирует извечную проблему безопасности, связанную с жёстко заданными секретами. Несмотря на всю свою очевидность, подобные недостатки продолжают появляться даже в продуктах ведущих вендоров. Для специалистов по информационной безопасности этот инцидент служит жёстким напоминанием о необходимости поддержания актуального состояния всего программного обеспечения, особенно того, что связано с привилегированным доступом и управлением инфраструктурой. Регулярный аудит учётных записей и сервисов, сегментация сети, ограничение доступа к административным интерфейсам только из доверенных сегментов - эти базовые меры могли бы значительно усложнить эксплуатацию подобной уязвимости даже до выхода официального патча. В данном же случае, учитывая факт активных атак, промедление с установкой обновления или применением сценария устранения рисков является неоправданно опасным решением для любой организации, стремящейся защитить свою цифровую среду.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-22769
- https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079
- https://github.com/advisories/GHSA-c56r-fcf4-6rp2
