In den letzten Monaten hat die Regierung Cybersicherheit in den Vereinigten Staaten eine starke Erinnerung erhalten: Schwachstellen in kritischen Infrastrukturprodukten sind kein theoretisches Problem, und wenn sie von hartnäckigen Akteuren ausgenutzt werden, können ganze Netzwerke seit Jahren kompromittieren. Die US-Infrastruktur- und Cybersicherheitsagentur (CISA) hat ein dringendes Tempo gesetzt: Sie befahl Bundesbehörden, in nur drei Tagen ein schwerstes Misserfolg in Dell RecoverPoint zu korrigieren, eine Maßnahme, die das reale Risiko hervorhebt, das bereits bei Vorkommnissen von Spionage und nachhaltigem Zugriff ausreicht.
Der in Frage stehende Fehler, eingetragen als CVE-2026-22769, beeinflusst RecoverPoint, Dells Lösung für die Sicherung und Wiederherstellung von virtuellen Maschinen in VMware-Umgebungen. Was dieses Problem besonders gefährlich macht, ist nicht nur seine technische Schwerkraft, sondern es geht um Software-embedded Anmeldeinformationen - ein klassischer Vektor, der es einem Angreifer ermöglicht, die Initialsteuerungen zu überspringen und sich seitlich innerhalb eines Netzwerks zu bewegen, sobald er den ersten Zugriff erhält.
Forscher mehrerer Cyber-Sicherheitsunternehmen, darunter Mandiant und Googles Bedrohungs-Intelligenz-Team, haben dokumentiert, dass diese Schwachstelle seit mindestens Mitte 2024 von einer Gruppe, die China zugeschrieben und als UNC6201 verfolgt wurde, aktiv genutzt wurde. Nach dem Ausnutzen des Ausfalls sind die Angreifer nicht auf eine rechtzeitige Intrusion beschränkt: Sie setzen mehrere schädliche Belastungen ein, halten Ausdauer und erhalten Kapazitäten, um ihren Zugang innerhalb der Infrastruktur zu erweitern.
Unter den in diesen Operationen identifizierten Werkzeugen ist BRICKSTORM, und seit September 2025 haben Analysten beobachtet, dass der Schauspieler mit einer neuen Hintertür namens GRIMBOLT begann. GRIMBOLT zeichnet sich durch die Verwendung weniger häufiger Compilationstechniken aus, die es schwierig macht, auf die Probe zu analysieren und zu reagieren, und sein Aussehen stellt Fragen darüber, ob der Ersatz ein geplantes Update oder eine Reaktion auf Antwortaktionen von Firmen wie Mandiant war.
Die Untersuchung zeigt auch eine Überschneidung zwischen der Aktivität von UNC6201 und einer anderen Gruppe namens Silk Typhoon (auch als UNC5221 zurückverfolgt), einem Set, das früheren Cyber-Epionage-Kampagnen gegen US-Bundespersonen zugeschrieben wird. Berichte vergangener Vorfälle erwähnen Intrusionen, die empfindliche Agenturen wie das Treasury Department, das Foreign Assets Control Office (OFAC) und das Foreign Investment Committee in den Vereinigten Staaten (CFIUS) beeinflussten, was dazu beiträgt, die potenziellen Auswirkungen zu rahmen, wenn diese Lücken kritische Verwaltungen oder Infrastruktur betreffen.
Im Hinblick auf den Nachweis der Ausbeutung in realen Umgebungen fügte die CISA CVE-2026-22769 in ihren Katalog von Sicherheitslücken hinzu, die bekanntermaßen ausgenutzt werden ( CISA-Benachrichtigung und Eintritt in die KEV) und erforderliche Einhaltung der Betriebsrichtlinie BOD 22-01, die Bundesbehörden verpflichtet, diese Mängel in sehr kurzer Zeit zu mindern oder zu beheben. Der Grund ist einfach: Schwachstellen im wildurlaub wenig Raum für warten und Agenturen sollten die Vorräte priorisieren, die amtliche Minderung anwenden oder, falls keine Korrektur vorliegt, die betroffene Ware nicht mehr verwenden.
Diese Episode ist nicht isoliert. Die Dringlichkeit von CISA erinnert an eine andere jüngste Richtlinie, die Bundesbehörden gezwungen hat, einen kritischen Fehler in BeyondTrust Remote Support (CVE-2026-1731) mit der gleichen dreitägigen Periode zu beheben. Unabhängige Forscher, wie die Autoren der Entdeckung, die in Hacktron veröffentlicht wurde, informierten auch die umfangreiche Exposition von Instanzen dieses Produkts - Tausende von zugänglichen Internet-Einrichtungen, die manuelle Patches in On-Spot-Einsätzen erforderten -, was die Risikoskala erhöht, wenn Schwachstellen öffentlich und ausnutzbar werden.
Über den unmittelbaren Patch hinaus zeigt diese Kette von Zwischenfällen mehrere strukturelle Probleme in der Sicherheit der Geschäfts- und Regierungsinfrastruktur. Erstens bleibt das Vorhandensein von geprägten Anmeldeinformationen oder unflexiblen Authentifizierungsmechanismen in kritischer Software ein häufiges Problem, das die Eskalation von Privilegien erleichtert. Zweitens erfordert die Komplexität von Hybrid-Umgebungen (Cloud-Services kombiniert mit On-Sace-Systemen) Sicherheitsteams, automatische Patches mit manuellen Audits und koordinierten Antworten zu kombinieren. Schließlich, wenn Angreifer ihre Werkzeuge entwickeln, um Analyse zu vermeiden - wie mit den neuen Compilationstechniken in GRIMBOLT - Erkennung und Eindämmung erfordern bessere Prozesse des Nachrichtenaustauschs und der öffentlich-privaten Zusammenarbeit.
Für Fachleute und IT-Manager ist die Lektion klar: Es reicht nicht aus, einen Patch anzuwenden, wenn der Newsletter erscheint; Sie müssen wissen, wo verletzliche Systeme sind, priorisieren Sie die risikobasierten Updates und haben Reaktionspläne, die Erkennung, Eindämmung und Erholung kombinieren. Die CISA-Richtlinien bieten einen rechtlichen und operativen Rahmen für Bundesbehörden, aber die besten Praktiken aus diesen Fällen sind für jede Organisation, die von virtualisierten Support- und Recovery-Lösungen abhängt, anwendbar.
Wenn Sie die in diesem Text genannten offiziellen Mitteilungen und technischen Informationen lesen möchten, können Sie den CVE-Eintrag auf Schwachstelle in RecoverPoint ( CVE-2026-22769), die Warnung und die Einarbeitung in den CISA Katalog ( Mitteilung der Kommission und Eintritt in die KEV), und eine journalistische Zusammenfassung der Situation, die technische Aussagen und Kontext zu den beteiligten Akteuren enthält ( BlepingComputer) Um die Dimension von ähnlichen Vorkommnissen in anderen Produkten und die Notwendigkeit einer agilen Reaktion zu verstehen, bietet die Veröffentlichung, die den Fehler in BeyondTrust entdeckte, mehr Details ( Hacker)
Wenn eine Verwundbarkeit aktiv ausgenutzt wird, ist die Zeit nicht mehr eine harmlose Variable: Es ist der Unterschied zwischen einem kontending Vorfall und einem Einbruch, der abgewickelt wird und langfristigen Schaden verursacht. Die Einladung für Manager und Entscheidungsträger ist einfach und dringend: Überprüfungsvorräte, amtliche Minderung anwenden und gegebenenfalls unsichere Komponenten abschalten, bis zuverlässige Patches vorhanden sind. Sicherheit ist nicht nur Technologie; es ist Wille und Koordination, Belichtungsfenster zu reduzieren, bevor die Angreifer nutzen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...