Dell RecoverPointのゼロデイCVE-2026-22769、中国系APTが2024年半ばから悪用

Google MandiantとGoogle Threat Intelligence Group（GTIG）の共同調査により、Dell RecoverPoint for Virtual Machinesのゼロデイ脆弱性が2024年半ばから中国系の脅威グループに悪用されていたことが明らかになった。

CVE-2026-22769の概要

CVSSスコアは10.0（最大値）。Dell RecoverPoint for Virtual Machines バージョン6.0.3.1 HF1より前のすべてのバージョンが影響を受ける。

脆弱性の正体は、Apache Tomcat Managerにハードコードされた認証情報である。攻撃者はこの「admin」クレデンシャルを使ってTomcat Managerに認証し、/manager/text/deployエンドポイント経由でWebシェルをデプロイできる。

攻撃チェーン

UNC6201と呼ばれる中国系のスパイグループが、以下のような攻撃チェーンを構築していた。

1. ハードコードされた認証情報でTomcat Managerにログイン
2. 「SLAYSTYLE」と名付けられたWebシェルをデプロイ
3. root権限でコマンドを実行
4. 「BRICKSTORM」バックドア、およびその後継となる「GRIMBOLT」を展開

GRIMBOLTはC#で書かれたバックドアで、ネイティブAOT（Ahead-of-Time）コンパイルが使われている。これによりリバースエンジニアリングが困難になっている。

UNC6201の手口

UNC6201はUNC5221とも戦術的な重複が見られる中国系のスパイクラスターで、主に北米の組織を標的にしている。

特筆すべきは「Ghost NICs」と呼ばれる手法で、一時的な仮想ネットワークインターフェースを作成してピボットし、痕跡を消す。従来のEDRエージェントが導入されていないアプライアンス機器を狙うのが特徴だ。

対策

• Dell RecoverPoint for VMsをバージョン6.0.3.1 HF1にアップグレードする
• RecoverPointを信頼されたアクセス制御付きの内部ネットワーク内に配置する
• 適切なファイアウォールとネットワークセグメンテーションを実装する

ハードコードされた認証情報という古典的な脆弱性が、CVSS 10.0として1年半も悪用され続けていたという事実は重い。EDR非対応のアプライアンス機器は攻撃者にとって格好の標的であり、ネットワーク境界での防御が不可欠である。

参照

• The Hacker News: Dell RecoverPoint for VMs Zero-Day