Hardcoded inloggegevens in Dell-software geven roottoegang tot VMware-omgevingen

Dell waarschuwt voor een kritieke kwetsbaarheid in zijn herstelsoftware voor virtuele machines van VMware. Het lek heeft de hoogst mogelijke CVSS-score van 10. Aanvallers misbruiken het al anderhalf jaar en krijgen er rootrechten mee op hypervisors die virtuele machines draaien.

Dell waarschuwt gebruikers nu, nadat Googles securitytak Mandiant het bedrijf informeerde over deze kwetsbaarheid (CVE-2026-22769). Het gaat om ingebakken inloggegevens in Dells software RecoverPoint for Virtual Machines. Volgens onderzoekers van Mandiant is er sprake van actief misbruik op beperkte schaal. Dit gebeurt al sinds zeker halverwege 2024, ontdekten de securityexperts van Google.

De inloggegevens zitten hardcoded in de Tomcat-webserver die Dell gebruikt in zijn herstelsoftware voor VMware-omgevingen. Deze gegevens horen bij een beheerdersaccount in de Dell-software. Via dit account kunnen aanvallers een kwaadaardig bestand uploaden, waarmee ze rootrechten krijgen op het systeem waarop de virtuele machines draaien. Dat onderliggende systeem is hypervisorsoftware ESXi van VMware, die direct op de hardware draait zonder zonder tussenkomst van een regulier besturingssysteem.

Nu upgraden

Dell adviseert klanten om zo snel mogelijk te upgraden naar versie 6.0.3.1 HF1 van RecoverPoint for Virtual Machines. Gebruikers op de oudere versie 5.3 SP4 P1 moeten eerst nog upgraden naar versie 6.0 SP3 voordat ze naar de actueelste, veilige versie kunnen upgraden. Dell biedt ook een herstelscript, dat beheerders moeten draaien op hun systemen met de VMware-herstelsoftware van de computerleverancier.

Hack/Security. Bron: Saifulasmee Chede/iStock/Getty Images
Hack/Security. Bron: Saifulasmee Chede/iStock/Getty Images

Door Jasper Bakker

Nieuwsredacteur

Feedback • 18-02-2026 14:43
31 • submitter: eagle00789

18-02-2026 • 14:43

31

Submitter: eagle00789

Lees meer

Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen Nieuws van 6 februari 2026
Tails brengt noodpatch uit om kwetsbaarheden in OpenSSL op te lossen
Tails brengt noodpatch uit om kwetsbaarheden in OpenSSL op te lossen Nieuws van 31 januari 2026
'China draagt bedrijven op geen Amerikaanse securitysoftware te gebruiken'
'China draagt bedrijven op geen Amerikaanse securitysoftware te gebruiken' Nieuws van 14 januari 2026
Back-upsoftware Veeam bevat beveiligingsgaten met CVSS-scores van 9,9
Back-upsoftware Veeam bevat beveiligingsgaten met CVSS-scores van 9,9 Nieuws van 15 oktober 2025
Meer producten en artikelen
Overige software Systeem- en netwerkutility's Netwerk en systeembeheer Virtualisatie Dell VMWare Cybersecurity Hack rooten Upgrade

Reacties (31)

-Moderatie-faq
31
28
10
1
0
13
Wijzig sortering

Sorteer op:

Weergave:
gatlarf 18 februari 2026 14:57
Gebruikers op de oudere versie 5.3 SP4 P1 moeten eerst nog upgraden naar versie 6.0 SP3
Djeezes, breng daar dan een emergency patch voor uit in plaats van een upgrade door de strot te duwen die nu snelsnel moet getest worden. Ik ken de software niet persoonlijk en ken de eventuele impact niet, maar als je zo’n joekel van een fout maakt, ga je je gebruikers toch verderhelpen op iedere geïmpacteerde major releasedie nog actueel gebruikt wordt?
Reageer
DDX @gatlarf18 februari 2026 15:17
Als ik het zo lees is het 'herstelscript' zoals genoemd de hotpatch zegmaar.
Al is dat herstelscript wel encoded op een of andere manier (geen zin om verder te kijken of je dit makkelijk kan lezen)

https://www.dell.com/supp...emediation-script-for-dsa
Reageer
seapip @DDX18 februari 2026 15:29
Even snel gekeken en inderdaad verhelpt het script al het grootste probleem (hardcoded wachwoord), kort samengevat:
Het script genereert een willekeurig admin-wachtwoord, versleutelt dit met SHA-512, past de Tomcat-gebruikersconfiguratie aan, beperkt de toegang tot de Tomcat Manager-app tot alleen localhost, maakt back-ups van configuratiebestanden en herstart de Tomcat-service.
Reageer
William_H @gatlarf18 februari 2026 15:24
Hier schrok ik ook van. Dit gaat er toe leiden dat sommige partijen nog niet gaan patchen want een upgrade vraagt (terecht een uitvoerigere) andere testprocedure dan een patch.

@DDX Zoals ik het in het artikel hierboven lees, moet je alsnog eerst upgraden en geldt wat @gatlarf en ik zeggen nog steeds. En dat maakt dat deze oplossing niet echt handig is. Zeker met iets wat al 1.5 jaar misbruikt wordt. Deze patch/upgrade heeft echt prio 0, maar ga dat maar eens in een testprocedure proppen.

[Reactie gewijzigd door William_H op 18 februari 2026 15:26]

Reageer
matty___ 18 februari 2026 14:47
Toch bijzonder slordig. Er is zo veel tooling die hierop af zou gaan.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@matty___18 februari 2026 15:32
Wanneer het lek bekend is wel maar getuige het feit dat dit lek al lange tijd wordt misbruikt was er niet "zo veel tooling die hierop af zou gaan". Een doorsnede kwetsbaarheid scanner kan bv alleen zaken vinden waarvan het op de hoogte is.
Reageer
Djerro123 @Bor18 februari 2026 15:36
Maar dit zou niet door een kwetsbaarheidscanner gevonden moeten worden; dit zit al in je CI straat. Sterker nog, een verplichte pre commit hook zou dit al pakken, maar een beetje serieuze partij scant regelmatig haar repos op hardcoded credentials.


Aan de andere kant kan het natuurlijk zo zijn dat dit gewoon een slordige, obfuscated implementatie is, waardoor het ook voor secret scanners niet makkelijk te vangen is. Het zal vast niet “const pwd = “MySecr3t!!123” zijn geweest (hoop ik)
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Djerro12318 februari 2026 15:39
Een goede toevoeging wat mij betreft. Aan de ontwikkelkant heb je absoluut gelijk. Ik bekeek het van de kant van de afnemer. Daar is het vinden van dit soort zaken echt een stuk minder vanzelfsprekend.
Reageer
Pinkys Brain 18 februari 2026 14:59
Hoe kan dit nog vandaag de dag? Geen code review en incompetentie?

Als dit code is van een infiltrant dan lacht hij zich kapot dat ze bij Dell zo incompetent zijn dat hij de backdoor niet eens hoefde te verstoppen en dat ze waarschijnlijk niet eens op het idee kunnen komen dat zij niet zo incompetent zijn. Ik hoop dat ze al zijn code tegen het licht houden, wie weet zitten er een dozijn obfuscated backdoors in plus deze ... maar ik denk niet dat het gebeurt.
Reageer
bzzzt @Pinkys Brain18 februari 2026 15:45
Dat ze Apache Tomcat nog gebruiken zegt waarschijnlijk dat die tool al minstens 10-20 jaar oud is. Dus waarschijnlijk eerder een geval 'slecht onderhoud' dan dat er vandaag de dag nog een fout gemaakt is.
Waarschijnlijk ooit in elkaar gezet door een ge-outsourced clubje en nooit meer naar gekeken.
Reageer
Polderviking @bzzzt18 februari 2026 15:48
Tomcat wordt nog gewoon onderhouden/aan gewerkt?
Reageer
bzzzt @Polderviking18 februari 2026 15:53
Ja, maar vrijwel niemand gebruikt het meer in nieuwe projecten.
Reageer
SPee @bzzzt18 februari 2026 16:04
Niet bewust. Met het Spring Boot framework krijg je nog steeds een (embedded) Tomcat mee.
Reageer
GreatDictator @bzzzt18 februari 2026 16:52
Het zit ingebakken in ArcGIS Enterprise. Elke organisatie met een beetje fatsoenlijke geo-omgeving heeft dat draaien; de grote meerderheid van Nederlandse overheden bijvoorbeeld. In hoeverre dat van buitenaf aan te roepen valt zal natuurlijk wel sterk verschillen.
Reageer
elsinga 18 februari 2026 14:54
Alsof hardcoded credentials niet altijd gevonden en uitgebuit worden.... Heel slordig....
Reageer
Macron 18 februari 2026 14:59
Dat is toch wel amateurisme van de bovenste plank voor zo'n groot bedrijf
Reageer
DDX 18 februari 2026 15:20
Los van feit dat hardcoded login niet handig is, gebruikers die zo'n service gewoon aan het internet / door iedereen in het office benaderbaar maken is ook niet slim.
Reageer
William_H @DDX18 februari 2026 15:30
Misschien zitten de criminelen al binnen in het netwerk, dan heb je natuurlijk al een probleem, maar dat maakt dit lek wel erg. Je moet er altijd vanuit gaan dat je gekraakt kunt worden. Dan heb je nog interne blokkades. Als dan dit soort services op je netwerk draaien, en zo makkelijk te manipuleren zijn, ben je kansloos.
Reageer
Sandor_Clegane 18 februari 2026 15:12
lol, hardcoded........ in een webserver............ Ik hoop dat de management vlans een beetje werken.,
Reageer
themadone 18 februari 2026 15:47
Ach, menig Dell ilo/idrac kan je ook gewoon inloggen met de naam van de zoon van Michael Dell dus heel verbaasd ben ik niet.
Reageer
JayPe @themadone18 februari 2026 16:09
Zach?
Reageer
xxs 18 februari 2026 16:21
Management software en dan internetfacing?

Leren we hef dan nooit beheerders?

Los van hardcoded credentials anno 2026.
Reageer
Triaxlium 18 februari 2026 15:14
Tja.. de enige goede Dell is een frikandell


Sent from my Dell

[Reactie gewijzigd door Triaxlium op 18 februari 2026 15:19]

Reageer
ValHallen @Triaxlium18 februari 2026 15:39
Wel één uit het warme vet toch? ;)
Reageer
sfranken @Triaxlium18 februari 2026 15:40
Met curry, ik hou niet van ketchup door de metalige nasmaak. Maar dan wel XXL oorlog met curry en sambal graag
Reageer
Triaxlium @sfranken18 februari 2026 15:46
Oeh sambal, nog nooit op. Ik zal het eens proberen!
Reageer
SPee @Triaxlium18 februari 2026 16:06
Dat is toch met satésaus?
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq