U.S. CISA adds Dell RecoverPoint and GitLab flaws to its Known Exploited Vulnerabilities catalog
2026/02/19 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Dell RecoverPoint および GitLab の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。追加された脆弱性は以下の通りである。
- CVE-2021-22175 (CVSS:6.8):GitLab Server の SSRF の脆弱性
- CVE-2026-22769 (CVSS:10.0):Dell RecoverPoint 認証情報ハードコード
1 つ目の脆弱性は、GitLab における Server-Side Request Forgery (SSRF) 問題であり、CVE-2021-22175 として追跡されている。
同社のアドバイザリによると、GitLab 10.5 以降の全バージョンにおいて、内部ネットワーク向け Webhook リクエストが有効化されている場合に SSRF の脆弱性が発生する。登録が無効化されている GitLab インスタンスであっても、未認証の攻撃者による悪用が可能である。
専門家たちが警告するのは、横展開/偵察/クラウド侵害などで、この攻撃者が SSRF を悪用している点である。
2 つ目の脆弱性は Dell RecoverPoint for Virtual Machines (RP4VMs) における認証情報ハードコードの問題であり、CVE-2026-22769 として追跡されている。この脆弱性は VMware バックアップ・システムへのアクセス獲得に悪用された。
今週、Mandiant と Google TIG (Threat Intelligence Group) が報告したのは、中国由来とされる APT グループが、2024年半ばから Dell RecoverPoint for Virtual Machines のゼロデイ脆弱性を静かに悪用していたことだ。
Google が公開したレポートによると、遅くとも 2024 年半ば以降に脅威クラスター UNC6201 が、この欠陥を悪用して横展開と永続化を行い、SLAYSTYLE/BRICKSTORM/GRIMBOLT などのマルウェアを展開していたという。
研究者が観測したのは、VMware 内での Ghost NICs のステルス横展開や、iptables を用いた Single Packet Authorization などの高度な手法である。Dell は、パッチおよび緩和策を公開している。
侵害された Dell RecoverPoint アプライアンスの調査中に Mandiant が確認したのは、これまでの BRICKSTORM が、2025年9月に新たな C# バックドア GRIMBOLT に置き換えられたことだ。GRIMBOLT は Native AOT でコンパイルされ、UPX でパックされている。マルウェアはリモートシェル・アクセスを提供し、BRICKSTORM の C2 チャネルを再利用する。この攻撃者は、永続化のために正規の起動スクリプトを改変し、バックドアがブート時に自動実行されるようにしている。
さらに Mandiant は、Tomcat Manager でハードコードされた Admin 認証情報を用いるアクセスを確認し、それが CVE-2026-22769 の発見につながった。この攻撃者は、悪意の WAR ファイル (SLAYSTYLE Web シェルを含む) をアップロードし、遅くとも 2024年半ばには root 権限でのコマンド実行を取得していた。それに加えて、攻撃範囲を VMware 環境へと拡大し、Ghost NICs を作成してステルス横展開を実施した。vCenter アプライアンス上では、iptables ベースの Single Packet Authorization を用いることで、通信を秘密裏に制御/転送していた。
Binding Operational Directive (BOD) 22-01:Reducing the Significant Risk of Known Exploited Vulnerabilities に基づき、FCEB 機関は指定期限までに、これらの脆弱性に対処しなければならない。
CISA は連邦機関に対して、Dell RecoverPoint の脆弱性を2月21日までに修正するよう要請した。また GitLab の問題については、2026年3月11日までの対応を命じている。
専門家は民間組織にも KEV カタログを確認し、自社インフラ内の該当脆弱性へ対応することを推奨している。
今回、CISA が KEV に追加した脆弱性の原因は、いずれも設計上の基本的な欠陥です。GitLab の脆弱性 CVE-2021-22175 は、内部向け Webhook を通じたリクエスト検証不足により、未認証の攻撃者に内部ネットワークへの侵入を許すものです。もう一方の、Dell RecoverPoint の脆弱性 CVE-2026-22769 は、Tomcat Manager のハードコードされた管理者の認証情報により、未認証の攻撃者に管理機能へのアクセスを許し、WAR ファイルのデプロイを介した root 権限奪取を引き起こすものです。いずれも、入力検証と認証管理の不備が、横展開や永続化の起点となっています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.