概要
Dell RecoverPoint for Virtual Machinesに存在する重大なゼロデイ脆弱性(CVE-2026-22769)が、中国の国家支援を受けたハッカーによって2024年中頃から悪用されていることが判明しました。この脆弱性はCVSSスコア10.0を記録し、認証なしで完全なルートアクセスを許可します。
攻撃の詳細
MandiantとGoogle Threat Intelligence Group (GTIG) は、このキャンペーンをUNC6201という脅威クラスターに帰属させています。UNC6201は、Silk Typhoonとも関連があるとされています。
脆弱性の詳細
CVE-2026-22769の原因は、Apache Tomcat Manager設定にハードコードされたデフォルトの資格情報です。攻撃者はこれらの資格情報を使用して管理者としてログインし、悪意のあるWARファイルをアップロードしてルート権限でコマンドを実行します。
マルウェアの進化
MandiantとGTIGは、UNC6201が当初BRICKSTORMというバックドアを使用していたことを発見しました。しかし、2025年9月にはGRIMBOLTというより高度なツールに置き換えられたことが確認されました。
GRIMBOLTの特徴
- C#で書かれており、ネイティブのAOTコンパイルを使用して直接マシン言語に変換されるため、パフォーマンスが向上し、セキュリティチームによる解析が困難になります。
持続性
GRIMBOLTは、正当なスクリプトを改ざんすることでシステム上で持続化します。これにより、アプライアンスが再起動するたびに実行されます。
対策と監視
- Dell RecoverPoint for Virtual Machinesのユーザーは、バージョン6.0.3.1 HF1へのアップグレードまたは公式修正スクリプトの適用をすぐに実施する必要があります。
- セキュリティチームは、Tomcatログを監視し、/managerエンドポイントに対する不正アクセスがないか確認することも重要です。
結論
この脆弱性の悪用は、高度な攻撃者によって継続的に行われており、組織は速やかな対応が必要です。また、セキュリティ上の脅威を常に監視し、適切な防御策を講じることが重要です。