CISA добавила в каталог эксплуатируемых уязвимостей старую уязвимость в GitLab и критический провал Dell с зашитым паролем

Американское агентство кибербезопасности CISA внесло в каталог активно эксплуатируемых уязвимостей две серьёзные проблемы: пятилетнюю брешь в GitLab, которую хакеры используют прямо сейчас, и свежий провал Dell с жёстко зашитым паролем, через который китайская группировка с середины 2024 года получает root-доступ к корпоративным системам резервного копирования. Обе уязвимости подтверждены в реальных атаках.

CVE-2021-22175 — подделка запросов на стороне сервера (SSRF) в GitLab. Проблема известна с 2021 года, патчи вышли ещё в версиях 14.3.6, 14.4.4 и 14.5.2, но множество серверов остались необновлёнными. Уязвимость затрагивает все версии GitLab начиная с 10.5, если в настройках разрешены webhook-запросы к внутренней сети. Атакующий без авторизации отправляет специально сформированный HTTP-запрос через CI Lint API и заставляет GitLab обратиться по произвольному адресу внутри корпоративной сети — к базам данных, API, закрытым сервисам, облачным метаданным, где могут храниться учётные записи. Регистрация на целевом сервере не требуется, достаточно того, что экземпляр GitLab доступен извне. По данным Shodan, в интернете сейчас доступно свыше 49 000 серверов GitLab, большинство из которых расположены в Китае. CISA установила срок устранения до 11 марта 2026 года.

CVE-2026-22769 — жёстко зашитые учётные данные в Dell RecoverPoint for Virtual Machines. CVSS 10.0 максимальная критичность. RecoverPoint отвечает за аварийное восстановление и резервное копирование виртуальных машин VMware, то есть находится в самом центре корпоративной инфраструктуры. Разработчики вшили пару логин-пароль администратора прямо в конфигурацию Apache Tomcat. Любой, кто узнал эти данные, получает удалённый доступ к операционной системе устройства с правами суперпользователя и может закрепиться в системе. Уязвимы все версии ниже 6.0.3.1 HF1, а также линейка 5.3 (SP2, SP3, SP4). RecoverPoint Classic при этом не затронут.

Google Threat Intelligence (бывший Mandiant) установила, что уязвимость эксплуатирует китайская группировка UNC6201, как минимум с середины 2024 года, то есть около полутора лет до публичного раскрытия. Получив доступ к RecoverPoint через зашитый пароль, хакеры загружали вредоносный WAR-файл с веб-оболочкой SLAYSTYLE через интерфейс Tomcat Manager, а затем устанавливали бэкдоры BRICKSTORM и его обновлённую версию GRIMBOLT, скомпилированный с нативной AOT-компиляцией C#-бэкдор, который сложнее обнаружить и проанализировать. Группировка не останавливалась на самом устройстве: хакеры создавали временные виртуальные сетевые интерфейсы на серверах VMware ESXi (так называемые Ghost NIC) и через них проникали глубже в корпоративную сеть. Атаки зафиксированы в организациях Северной Америки. Dell выпустила патч в версии 6.0.3.1 HF1 и рекомендует обновиться немедленно. Срок устранения, установленный CISA, 21 февраля 2026 года, всего три дня после публикации, что говорит об исключительной серьёзности угрозы.

Для частных организаций обе записи в каталоге, сигнал к приоритетной проверке. Если в инфраструктуре есть GitLab с включёнными внутренними webhook, нужно убедиться, что версия выше 14.5.2. Если есть Dell RecoverPoint ниже 6.0.3.1 HF1, патчиться нужно сегодня, а не завтра. Трёхдневный дедлайн CISA, редкость, и сам по себе этот факт говорит о масштабе проблемы.