팔로우 
SOC Prime는 최근 Apple을 포함한 주요 생태계 전반에 걸쳐 적극적으로 악용되고 있는 제로데이에 대한 보도를 진행했으며 CVE-2026-20700 및 Microsoft의 CVE-2026-20805, 그리고 새로운 Chrome 제로데이 사례에 대해서도 언급하였습니다. 하지만 위협의 급증은 계속되고 있으며, 최근 Mandiant와 Google Threat Intelligence Group (GTIG) 연구원들은 CVE-2026-22769의 적극적인 악용 사례를 자세히 설명했습니다. 이는 Dell 제품에서 최대 심각도의 하드코딩된 자격 증명 취약성입니다.
초점이 맞춰진 것은 Dell RecoverPoint for Virtual Machines로, VMware에 중점을 둔 백업 및 재난 복구 솔루션입니다. 이는 중국과 관련된 것으로 추정되는 활동에 의해 타겟팅된 와일드 제로데이 캠페인의 대상이 되었습니다. CVSS 점수 10.0으로 추적되며, CVE-2026-22769는 2024년 중반부터 최소한 이용되어 BRICKSTORM 및 GRIMBOLT을 포함한 여러 악성코드 군을 배포할 수 있게 했습니다.
SOC Prime 플랫폼은 보안 팀이 ‘CVE가 공개되었습니다’와 ‘탐지 정보를 얻었습니다’ 사이의 격차를 해소할 수 있도록 도와줍니다. 지금 가입하세요 세상에서 가장 큰 탐지 인텔리전스 데이터 세트에 접근하며, SOP를 다음 단계로 끌어올리는 데 도움이 되는 고급 솔루션이 뒷받침됩니다. 클릭하여 탐지 탐색 를 통해 ‘CVE’ 태그로 미리 필터링된 취약점 중심의 탐지 콘텐츠에 도달하세요.
모든 규칙은 다양한 SIEM, EDR, 및 데이터 레이크 포맷과 호환되며 MITRE ATT&CK®에 매핑됩니다. 또한, 각 규칙에는 CTI 참조, 공격 흐름 시각화, 분류 권고 사항, 감사 구성 등을 포함한 광범위한 메타데이터가 추가로 제공됩니다.
보안 팀은 또한 Uncoder AI 를 활용하여 탐지 엔지니어링을 가속화할 수 있으며 end-부터-끝까지 실시간 위협 보고서에서 직접 규칙을 생성하고, 탐지 논리를 정제 및 검증하고 , 논리를 IOC를 사용자 정의 탐색 쿼리로 변환하고 다양한 언어 형식으로 탐지 코드를 즉시 번역합니다.
CVE-2026-22769 분석
2026년 2월 17일자 권고문에서 Dell은 CVE-2026-22769를 RecoverPoint for Virtual Machines 6.0.3.1 HF1 이전 버전에 존재하는 하드코딩된 자격 증명 취약점으로 설명하며 최고 수준의 심각도 등급을 부여했습니다. Dell은 하드코딩된 자격 증명을 알고 있는 미인증 원격 공격자가 기반 운영체제에 대한 무단 접근을 획득하고, 나아가 root 수준의 지속성을 확립할 수 있다고 경고합니다.
GTIG와 Mandiant의 조사는 그 영향의 운영 세부 사항을 추가합니다. 보안 전문가들은 공격 대상의 Apache Tomcat 관리자에 대한 활동을 관찰했으며, 이에는 SLAYSTYLE 웹 쉘을 포함한 악성 WAR 파일의 배포를 발생시키는 admin 사용자 이름을 사용하는 웹 요청이 포함되었습니다. 연구자들은 이를 Tomcat Manager 설정에서 admin 사용자의 하드코딩된 기본 자격 증명으로 추적하였습니다. 관찰 /home/kos/tomcat9/tomcat-users.xml /home/kos/tomcat9/tomcat-users.xml을 사용하여 공격자가 Tomcat Manager에 인증하고 /manager/text/deploy 엔드포인트를 통해 루트로 커맨드를 실행할 수 있도록 WAR를 배포할 수 있습니다.
UNC6201은 초기 접근 벡터가 확인되지 않았지만 가장 오래된 역이용 사례는 2024년 중반으로 거슬러 올라갑니다. 이 경우 최초 접근 벡터는 확립되지 않았으나 GTIG는 UNC6201이 엣지 어플라이언스를 초기 진입 시점으로 취급한다는 점을 주의할 필요가 있다고 언급했습니다.
사후 타협 도구 역시 시간이 지남에 따라 발전했습니다. Mandiant는 BRICKSTORM 바이너리를 찾고 2025년 9월에 GRIMBOLT로 대체된 것을 관찰했습니다. GRIMBOLT는 네이티브 사전 컴파일링을 사용하여 컴파일된 C# 백도어로 설명되며 UPX로 포장되어 있으며, 기존의 BRICKSTORM과 동일한 C2를 사용하여 원격 셸 기능을 제공합니다. 연구자들은 교체가 계획된 업그레이드인지 사고 대응 압력에 대한 반응인지 확실하지 않다고 언급했습니다.
활동은 RecoverPoint 어플라이언스에 머물지 않았습니다. Mandiant는 UNC6201이 VMware ESXi 서버에서 임시 가상 네트워크 포트를 생성하여 피해자의 가상화된 환경으로 더 깊게 들어갔다고 보고했으며, 이는 보편적으로 ‘유령 NIC’로 알려진 감지할 수 없는 네트워크 연결을 효과적으로 만들어주었습니다. 이 기술은 공격자들이 손상된 VM에서보다 넓은 내부 네트워크로 조용히 이동하고, 경우에 따라 SaaS 환경까지도 진행할 수 있게 했습니다.
연구자들은 또한 Ivanti 제로데이를 악용한 것으로 알려진 UNC5221로 추적되는 또 다른 중국 접점 클러스터인 UNC6201과의 중복을 보고하고 있으며, 이전 보고서에서 Silk Typhoon과 연결된 바 있습니다. 그러나 GTIG는 이러한 클러스터가 동일하지 않다고 보았습니다.
CVE-2026-22769 완화책
Dell의 수정 지침은 명확하지만, 따르는 것이 필요합니다. 6.x 라인에서는 고객에게 6.0.3.1 HF1로 업그레이드하거나 권고문에 언급된 벤더 수정 스크립트를 적용하도록 안내하고, 영향을 받은 5.3 서비스 팩 빌드에 대한 마이그레이션/업그레이드 경로도 제공합니다.
패치를 넘어 범위를 강화하려면 SOC Prime 플랫폼 에 의존하여 세계 최대의 탐지 인텔리전스 데이터셋에 도달하고, 탐지에서 시뮬레이션에 이르기까지 일관된 파이프라인을 채택하여 보안 운영을 간소화하고 응답 워크플로우를 가속화하며 엔지니어링 오버헤드를 줄이고, 신흥 위협에 대비하세요.
FAQ
CVE-2026-22769는 무엇이며 어떻게 작동합니까?
CVE-2026-22769는 Dell RecoverPoint for Virtual Machines에서 발견된 치명적인 하드코딩된 자격 증명 취약성입니다. 이 결함은 인증되지 않은 원격 공격자가 하드코딩된 자격 증명을 알고 있을 경우 기본 운영 체제에 무단으로 접근하고 루트 수준의 지속성을 달성할 수 있도록 합니다.
CVE-2026-22769는 언제 처음 발견되었습니까?
Dell은 2026년 2월 17일에 권고를 발표했으며, GTIG와 Mandiant는 가장 이른 악용 활동이 2024년 중반에 발생했다고 보고했습니다.
CVE-2026-22769는 조직에 어떤 위험을 초래합니까?
성공적인 악용은 어플라이언스에 대한 원격 접근을 제공하고 루트 수준의 지속성을 가능하게 하여, 악성코드 배포, 장기적인 은폐 접근, VMware 및 엔터프라이즈 인프라로 더욱 깊이 전환하는 등의 행위를 지원할 수 있습니다.
CVE-2026-22769가 2026년에도 여전히 영향을 미칠 수 있습니까?
예. RecoverPoint for Virtual Machines가 6.0.3.1 HF1 이전의 취약한 버전 또는 Dell의 지침에 따라 업그레이드되지 않은 영향을 받은 5.3 빌드를 실행 중인 경우, 환경은 여전히 노출될 수 있습니다.
CVE-2026-22769로부터 어떻게 보호할 수 있습니까?
Dell의 수정을 즉시 적용하여 6.0.3.1 HF1로 업그레이드하거나 벤더의 수정 스크립트 경로를 사용한 후 모든 어플라이언스 및 관련 관리 표면들이 버전 준수 여부를 확인하세요.
