Dellの仮想化向けアプライアンス「RecoverPoint for Virtual Machines」で、固定された認証情報(ハードコードされた資格情報)に起因する最大深刻度の脆弱性が報告され、2024年半ば以降にゼロデイとして悪用された可能性が示されています。未認証の遠隔攻撃からOSへの不正アクセスやroot権限での永続化に至る恐れがあり、影響範囲の確認とアップデートが急務です。
The Hacker News:Dell RecoverPoint for VMs Zero-Day CVE-2026-22769 Exploited Since Mid-2024
この記事のポイント
影響のあるシステム
- Dell RecoverPoint for Virtual Machines:6.0.3.1 HF1未満のバージョン
- 影響のある脆弱性:CVE-2026-22769(CVSS 10.0、固定資格情報/hard-coded credentials)
- 対象外:RecoverPoint Classic は本件の影響を受けないとされています
- 影響バージョン例(記事記載の範囲):5.3 SP4 P1、6.0 / 6.0 SP1 / 6.0 SP1 P1 / 6.0 SP1 P2 / 6.0 SP2 / 6.0 SP2 P1 / 6.0 SP3 / 6.0 SP3 P1、ならびに 5.3 SP4 / 5.3 SP3 / 5.3 SP2 / それ以前
推奨される対策
- 6.0.3.1 HF1へアップグレード(6.0系:6.0.3.1 HF1へ更新)
- 5.3系:5.3 SP4 P1へ更新、または6.xへ移行後に必要な是正を適用(記事の手順に従う)
- 5.3 SP4 P1利用環境:6.0 SP3へ移行し、その後6.0.3.1 HF1へ更新(記事記載の手順)
- Dellの前提に沿い、信頼できるアクセス制御済みの内部ネットワークに配置し、ファイアウォールとネットワーク分離で保護(不特定多数が到達できるネットワークでの運用を避ける)
- 既に侵害されていた可能性に備え、公開されたIOC/YARAルールを用いたハンティングや、関連する不審な挙動(Webシェル等)の確認を実施
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2026-22769:特定の脆弱性に付与される共通脆弱性識別子(CVE)です。
- CVSS 10.0:脆弱性の深刻度を示す指標で、10.0は最大値です。
- ゼロデイ(Zero-day):修正が広く行き渡る前に悪用が確認される、またはその可能性が示される状態を指します。
- 固定資格情報(Hard-coded credentials):製品内部に固定されたID/パスワード等が埋め込まれている状態で、推測・入手されると不正アクセスに直結し得ます。
- Webシェル(Web shell):サーバー上でコマンド実行などを可能にする不正プログラムで、侵入後の操作に使われます。
- Apache Tomcat Manager:Tomcatの管理機能で、悪用されると不正なアプリの配置などに繋がる恐れがあります。
- KEV(Known Exploited Vulnerabilities):実際に悪用が確認された脆弱性を整理したカタログで、対応期限が示される場合があります。
- 永続化(Persistence):侵入後に再起動や一部の対処を経ても攻撃者がアクセスを維持できる状態を指します。
何が問題なのか:未認証の遠隔攻撃からOS侵害に繋がり得る欠陥
Dellは「RecoverPoint for Virtual Machines」に、固定資格情報(hard-coded credentials)に起因する脆弱性があると説明しており、記事ではCVE-2026-22769として取り上げられています。深刻度はCVSS 10.0とされ、未認証のリモート攻撃者であっても、固定された認証情報を把握していれば悪用できる可能性がある点が重要です。Dellの見解として、悪用された場合には基盤となるOSへの不正アクセスや、root権限での永続化に至る恐れがあるとされています。影響を受けるのは6.0.3.1 HF1より前のバージョンで、RecoverPoint Classicは対象外と明記されています。仮想化基盤の周辺機器は業務停止に直結しやすく、侵害が長期化すると復旧の難易度も上がるため、まずは自組織の該当製品・バージョンを棚卸しし、影響有無を切り分けることが現実的な第一歩になります。
攻撃の流れ:Tomcat Manager悪用とWebシェル配置、バックドアへの展開
Google MandiantおよびGoogle Threat Intelligence Group(GTIG)の報告として、2024年半ば以降、疑わしい中国系の脅威クラスター「UNC6201」が本脆弱性をゼロデイとして悪用してきた可能性が示されています。Mandiantは今年(記事掲載時点)に、複数のRecoverPoint for Virtual Machinesを調査する過程でCVE-2026-22769を把握したとされ、把握できている影響組織は「10数件未満」としつつも、キャンペーン全体像は不明だと述べています。記事では、固定資格情報がApache Tomcat Managerの「admin」ユーザーに関係し、Tomcat Managerに対して認証できると、/manager/text/deploy エンドポイントを用いて「SLAYSTYLE」というWebシェルをアップロードし、その後アプライアンス上でroot権限のコマンド実行に至る流れが説明されています。さらに、BRICKSTORMバックドアや、その新しい版として「GRIMBOLT」を投入した可能性にも触れられており、GRIMBOLTはC#で開発され、ネイティブAOT(ahead-of-time)コンパイルにより解析が難しくなる点が指摘されています。
今すぐ確認すべきこと:パッチ適用に加え、侵害の痕跡を前提に点検する
対策としては、まずベンダーが示す更新先である6.0.3.1 HF1へのアップグレードが中心になります。記事では、6.0系の各バージョン(6.0、6.0 SP1、6.0 SP2、6.0 SP3など)は6.0.3.1 HF1へ更新すること、5.3系は5.3 SP4 P1や6.xへの移行を経て必要な是正を行うこと、さらに5.3 SP4 P1利用環境では6.0 SP3へ移行後に6.0.3.1 HF1へ更新する流れが示されています。またDellは運用前提として、当該製品は信頼できるアクセス制御済みの内部ネットワークでの利用を想定し、ファイアウォールやネットワーク分離で保護すべきで、信頼できない/公開ネットワークでの利用を意図していないと述べています。加えて、悪用が2024年半ばから続いている可能性がある以上、「未侵害」を前提にせず、公開されたIOCやYARAルールを用いたハンティング、Tomcat Manager周辺での不審なデプロイやWebシェルの痕跡、BRICKSTORM/GRIMBOLTに関連する兆候の確認が現実的です。さらに記事の追記では、米CISAが2026年2月18日にCVE-2026-22769をKEVカタログへ追加し、FCEB(米連邦政府機関)に対して2026年2月21日までのパッチ適用を求めたとされており、実運用上の緊急度の高さを示す材料になります。
