Dell 0-Day Vulnerability Exploited by Chinese Hackers since mid-2024 to Deploy Malware
2026/02/18 CyberSecurityNews — Dell Technologies RecoverPoint for Virtual Machines を標的とする、深刻なゼロデイ攻撃キャンペーンが確認された。この脆弱性 CVE-2026-22769 (CVSSv3.1:10.0)は、遅くとも 2024 年の後半から、積極的に悪用されてきたことが判明している。 インシデント・レスポンス活動において、この活動は UNC6201 に帰属すると判断されている。このクラスターは中国との関連性が疑われており、Silk Typhoon (UNC5221) として公に知られるグループとの顕著な重複が確認されている。
Mandiant とGoogle TIG (Threat Intelligence Group) が確認したのは、この脆弱性を悪用する攻撃者が、ネットワーク内の横方向移動/持続的アクセス維持/SLAYSTYLE/BRICKSTORM/新規バックドア GRIMBOLT などの高度なマルウェア・スイートの展開を実行していることだ。初期のアクセス・ベクターは未確定であるが、VPN コンセントレータなどのエッジ・アプライアンスを標的とすることで、UNC6201 は足場を確立していくとされる。
ハードコードされたデフォルト管理者認証情報
この脆弱性は、Dell RecoverPoint アプライアンスで用いられる、Apache Tomcat Manager におけるコンフィグ上の深刻な不備に起因する。研究者たちが発見したのは、”/home/kos/tomcat9/tomcat-users.xml” ファイル内にハードコードされた、 Admin ユーザーのデフォルト認証情報である。
このコンフィグ不備により、未認証のリモート攻撃者が Tomcat Manager へログインし、ソフトウェア更新や管理タスクの操作を可能にする。認証後の攻撃者は、”/manager/text/deploy” エンドポイントを悪用し、悪意の WAR ファイルをアップロードできる。
観測された攻撃では、このメカニズムにより SLAYSTYLE Web シェルが展開され、侵害されたアプライアンス上における、root レベルでのコマンド実行が可能となっていた。
GRIMBOLT への移行
このキャンペーンにおける重要な進展は、従来の BRICKSTORM バックドアから、GRIMBOLT という新たなマルウェア・ファミリーへの移行である。2025年9月に確認された移行が示すのは、検知回避およびリソース制約のあるエッジ・デバイス上での、パフォーマンスの最適化と攻撃手法の高度化である。
従来の .NET マルウェアが Just-In-Time (JIT) コンパイルに依存するのに対して、新たな GRIMBOLT は C# で記述され、Native Ahead-of-Time (AOT) コンパイルによりビルドされる。この手法では、ビルド工程でコードを直接ネイティブ機械語へ変換するため、通常のセキュリティ・ツールがスキャン対象として参照する、Common Intermediate Language (CIL) メタデータが除去される。さらに UPX でパックされているため、静的な解析が困難になると Mandiant のレポートは説明している。
UNC6201 は永続化を維持するために、正規の “convert_hosts.sh” スクリプトを改変し、システムの起動時にバックドアが “rc.local” 経由で自動実行されるようにコンフィグしている。
高度なネットワーク戦術
こうしてマルウェアを展開した UNC6201 は、侵害した環境内をステルス移動するために、高度なネットワーク戦術を実行していく。ESXi サーバ上の既存の仮想マシン内に、一時的ネットワーク・ポートを構成する “Ghost NIC” が生成されたと、Mandiant は分析している。この隠蔽インターフェイスにより、標準的なネットワーク監視ツールに検知されることなく、内部ネットワークと SaaS インフラ間を移動していける。
さらに攻撃者は、Single Packet Authorization (SPA) と呼ばれるステルス通信管理手法を、iptables を用いて実装している。Systemd Journal のフォレンジック分析で判明したのは、攻撃者がポート 443 の受信トラフィックを監視し、特定の 16 進文字列を含むパケットを検知していることだ。
このマジック・パケットが検出されると、送信元 IP アドレスが許可リストに追加される。その後の、ポート 10443 への接続は、許可リストに追加された IP だけに許可され、承認されていない IP からのトラフィックは静かにリダイレクトされる。この手法により、Command-and-Control (C2) チャネルは、日常的な監視や自動スキャンから効果的に隠蔽される。
脆弱性の詳細
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2026-22769 | 10.0 (Critical) | A hardcoded credential vulnerability in Dell RecoverPoint for Virtual Machines allows unauthenticated remote attackers to access the underlying OS and establish root-level persistence. |
影響を受けるバージョン
すでに Dell Technologies は、影響を受ける顧客に対して、緊急の緩和策ガイダンスを公開している。以下のバージョンに対して、速やかな対処が必要である。
| Product | Affected Versions | Remediation Action |
|---|---|---|
| RecoverPoint for Virtual Machines | 5.3 SP4 P1 | Migrate to 6.0 SP3, then upgrade to 6.0.3.1 HF1 OR apply remediation script DSA-2026-079. |
| RecoverPoint for Virtual Machines | 6.0 through 6.0 SP3 P1 | Upgrade to 6.0.3.1 HF1 OR apply remediation script DSA-2026-079. |
| RecoverPoint for Virtual Machines | 5.3 SP4 and earlier | Upgrade to 5.3 SP4 P1 or a 6.x version, then apply the remediation script. |
侵害の兆候 (IOC)
以下のファイル/ネットワーク指標が、この攻撃キャンペーンに関連している。
| Indicator Value | Type | Malware Family | File Name / Context |
|---|---|---|---|
24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c | SHA256 | GRIMBOLT | support |
dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591 | SHA256 | GRIMBOLT | out_elf_2 |
92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a | SHA256 | SLAYSTYLE | default_jsp.java |
aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878 | SHA256 | BRICKSTORM | N/A |
2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df | SHA256 | BRICKSTORM | splisten |
320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759 | SHA256 | BRICKSTORM | N/A |
90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035 | SHA256 | BRICKSTORM | N/A |
45313a6745803a7f57ff35f5397fdf117eaec008a76417e6e2ac8a6280f7d830 | SHA256 | BRICKSTORM | N/A |
wss://149.248.11.71/rest/apisession | C2 Endpoint | GRIMBOLT | N/A |
149.248.11.71 | C2 IP | GRIMBOLT | N/A |
CVE-2026-22769 (CVSS 10.0) の原因は、Dell Technologies RecoverPoint for Virtual Machines における Apache Tomcat Manager のミスコンフィグとのことです。具体的には、”tomcat-users.xml” に Admin のデフォルト認証情報がハードコードされるという問題が生じています。その結果、未認証のリモート攻撃者が管理インターフェイスへログインし、WAR ファイルをデプロイして Web シェルを設置できる状態になっています。侵入後の攻撃者は、GRIMBOLT などのバックドア展開や SPA を用いた C2 隠蔽を行い、持続的アクセスを確立します。ご利用のチームは、ご注意ください。よろしければ、Dell での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.