CVE-2026-22769: 緊急Dell RecoverPointゼロデイが野外で悪用される

SOC Primeは、Appleの CVE-2026-20700 やMicrosoftの CVE-2026-20805を含む主要なエコシステムでの積極的に悪用されているゼロデイに関する一連の事例を最近取り上げました。加えて、新たな Chromeゼロデイ 事例があります。しかし、脅威の雪崩は2026年にも進行しています。最近、MandiantとGoogle Threat Intelligence Group (GTIG)の研究者たちは、Dell製品における最大の深刻度を持つハードコードされた資格情報脆弱性CVE-2026-22769の活発な悪用について詳しく説明しました。

注目されているのは、仮想マシンのためのDell RecoverPointであり、VMware向けのバックアップおよび災害復旧ソリューションです。これは、疑われる中国の関与によるゼロデイキャンペーンの標的となっており、CVSSスコアは10.0と高く、少なくとも2024年半ばから中国に関連するとされるクラスタUNC6201によって悪用され、攻撃者がアクセスを確立し、BRICKSTORMやGRIMBOLTを含む複数のマルウェアファミリーを展開することを可能にしています。

SOC Primeプラットフォームは、セキュリティチームが「CVEが公開された」から「我々は検出インテリジェンスを持っている」という間のギャップを埋めるのに役立ちます。 今すぐサインアップ して、SOCを次のレベルに引き上げるための高度なソリューションをバックアップとした、世界最大の検出インテリジェンスデータセットにアクセスしましょう。クリックして 検出を探索 し、「CVE」タグによって事前にフィルターされた脆弱性に注目した検出コンテンツにアクセスしてください。 

検出を探索

すべてのルールは、数十のSIEM、EDR、およびデータレイク形式に対応しており、 MITRE ATT&CK®にマッピングされています。さらに、各ルールは、CTI参照、攻撃フローの可視化、トリアージ推奨事項、監査構成などを含む広範なメタデータで強化されています。

セキュリティチームはまた、検出エンジニアリングを加速するために Uncoder AI を活用することができ、 end間のエンド – エンドまで 検出 ロジックを精緻化し、検証しながら、 IOCをカスタム調査クエリに変換し、多様な言語形式で検出コードを即座に翻訳します。

CVE-2026-22769の分析

2026年2月17日付のアドバイザリにおいて、DellはCVE-2026-22769を、RecoverPoint for Virtual Machinesの6.0.3.1 HF1より前のバージョンに存在するハードコードされた認証情報の脆弱性として説明し、最高の深刻度評価を付与しています。Dellは、ハードコードされた認証情報を把握している未認証のリモート攻撃者が、基盤となるオペレーティングシステムへの不正アクセスを獲得し、さらにrootレベルの永続化を確立する可能性があると警告しています。

GTIGとMandiantの調査は、その影響の背後にある業務的な詳細を追加します。セキュリティ専門家は、アプライアンスのApache Tomcat Managerに対する活動を観察し、管理者ユーザー名を使用したWebリクエストがSLAYSTYLEウェブシェルを含む悪意のあるWARファイルのデプロイにつながったことを報告しています。この研究者たちは、Tomcat Managerの設定における管理者ユーザーのハードコードされたデフォルト資格情報にこれを遡り、 アクティビティを観測しました。 攻撃者が /home/kos/tomcat9/tomcat-users.xml内の資格情報を使用してTomcat Managerに認証後、 /manager/text/deploy エンドポイントを通じてWARをデプロイし、アプライアンス上でのルートとしてのコマンドの実行につなげました。 

UNC6201はこの足場を利用して横移動、永続性維持、マルウェアの展開を行ったと評価されており、最も早く確認された悪用事例は2024年半ばに遡りますが、これらのケースでの初期アクセスベクトルは確認されていません。しかし、GTIGはUNC6201がエッジアプライアンスを標的とすることで知られていると指摘しています。

侵害後のツールも時間とともに進化しました。Mandiantは BRICKSTORM バイナリが見つかった後、2025年9月にGRIMBOLTに置き換えられたことを観察しました。GRIMBOLTはネイティブの事前コンパイル(AOT)を使用してコンパイルされたC#バックドアとして説明され、UPXでパックされており、BRICKSTORMと同じC2を使用して遠隔シェル機能を提供します。研究者は、この交換が計画されたアップグレードだったのか、インシデント対応の圧力への対応だったのかは不明だと指摘しています。

活動はRecoverPointアプライアンスに留まらず、MandiantはUNC6201が被害者の仮想化環境に深く入り込み、VMware ESXiサーバー上で一時的な仮想ネットワークポートを作成し、「Ghost NICs」として知られる隠れたネットワーク接続を実質的に確立したと報告しています。この技術により、攻撃者は侵害された仮想マシンから静かに内部の広範なネットワークや、場合によってはSaaS環境へ移動することができました。

研究者たちはまた、Ivantiのゼロデイを悪用することで知られる中国に関連するクラスターUNC5221とUNC6201との間の重複を報告しましたが、これらのクラスターは同一であるとは見なされていないとGTIGは指摘しています。

CVE-2026-22769の緩和策

Dellの対策ガイダンスは明確ですが、フォローアップが必要です。6.xラインに対しては、Dellは顧客に6.0.3.1 HF1にアップグレードするか、勧告に記載されているベンダーの対策スクリプトを適用することを勧めており、影響を受けた5.3サービスパックビルドに対する移行/アップグレードパスを提供しています。

パッチを超えたカバレッジを強化するために、 SOC Primeプラットフォーム に依存して、世界最大の検出インテリジェンスデータセットにアクセスし、検出を通じてシミュレーションを使用したエンドツーエンドパイプラインを採用し、セキュリティ運用を簡略化し、応答ワークフローを加速し、エンジニアリングのオーバーヘッドを軽減し、新たな脅威に先んじて行動しましょう。