Dell「RecoverPoint」に見つかった最悪レベルの脆弱性 バックドア設置の攻撃で悪用
「RecoverPoint for Virtual Machines」(RP4VM)に見つかった深刻度が最高の脆弱性が、既に攻撃に悪用されていることが分かった。バックドアを通じて侵入を維持する手口も確認されている。どのような手口なのか。
攻撃者は「Dell RecoverPoint for Virtual Machines」(RP4VM)のゼロデイ脆弱(ぜいじゃく)性を悪用し、新しいバックドアを設置する攻撃キャンペーンを展開している――。Google Cloud傘下のMandiantと、Google Threat Intelligence Group(GTIG)の新たな調査からは(注1)、こうした事実が明らかになった。
RP4VMは、Dell Technologiesのデータ保護ソフトウェアだ。VMwareの仮想マシンに対するバックアップや災害復旧を一元的に管理する機能を備える。
RP4VMの最悪レベルの脆弱性と、その悪用の手口とは
今回の脆弱性「CVE-2026-22769」は、ハードコーディング(ソースコードに直接記述)された認証情報に関する脆弱性だ。この脆弱性を悪用すると、認証されていない攻撃者が、製品の背後で動作するOSなどの基盤システムにアクセスし、管理者レベルの権限で持続的に侵入状態を維持できる可能性がある。この脆弱性の深刻度を示すスコアは、CVSS(共通脆弱性評価システム)で最高値となる10という評価だ。
MandiantとGTIGが「UNC6201」として追跡している攻撃者は、遅くとも2024年にはCVE-2026-22769を攻撃に悪用している。侵入後も排除されることなくアクセスを維持し続け、ネットワーク内部でさまざまなシステムに侵入範囲を広げ、「BRICKSTORM」「SLAYSTYLE」「GRIMBOLT」といったバックドアを展開できる能力を持つ。
研究者によると、BRICKSTORMはプログラミング言語「Go」で開発されたバックドアだ。VMwareの管理サーバ「VMware vCenter」を標的とする攻撃に使用されているという(注2)。今回新たに明らかになった攻撃では、UNC6201はBRICKSTORMに代えて、より検出が困難なGRIMBOLTを使用している。
Mandiantのセキュリティ専門家集団Mandiant Consultingのチャールズ・カーマカル氏(最高技術責任者兼ボードアドバイザー)が、ビジネスSNS「LinkedIn」への投稿で明らかにしたところによると(注3)、GRIMBOLTはプログラミング言語「C#」で開発されたバックドアであり、実行前に機械語(ネイティブコード)へ変換される。そのため解析やリバースエンジニアリングが困難だという。
GTIGのオースティン・ラーセン氏(プリンシパル脅威アナリスト)によると、Mandiantは被害組織のIT環境内にあるRP4VMを調査する過程で、CVE-2026-22769を発見した。ラーセン氏は、今回の攻撃キャンペーンの影響を受けた組織は12社未満にとどまるとの認識を示す。ただし、これまでにBRICKSTORMの攻撃対象となった組織に対しては、社内にGRIMBOLTが存在しないかどうかを確認するよう注意を促す。
Dellは公開したセキュリティアドバイザリー(セキュリティに関する注意喚起)の中で、顧客に対してアップグレードの実施と、同社が提供する緩和策の即座の適用を呼び掛けている(注4)。同社の広報担当者は「限定的ではあるものの、CVE-2026-22769が実際に悪用されているとの報告を受けている」と説明する。
2026年2月11日(現地時間)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はCVE-2026-22769について、既知の悪用済み脆弱性カタログに追加した(注5)。CISAでサイバーセキュリティを担当するニック・アンダーセン氏(エグゼクティブ・アシスタントディレクター)によると、同機関は政府や業界、国際的なパートナーとの連携を通じて、複数年にわたって続くBRICKSTORMの攻撃キャンペーンへの対処を積極的に進めている。
ハードコーディングされた認証情報は「依然として重大なリスクだ」とアンダーセン氏は述べる。CISAは全ての組織に対して、リスク低減と侵害防止に向けて、今すぐ断固とした対策を講じるよう強く求めているという。
出典:Hackers exploit zero-day flaw in Dell RecoverPoint for Virtual Machines(Cybersecurity Dive)
注1:From BRICKSTORM to GRIMBOLT: UNC6201 Exploiting a Dell RecoverPoint for Virtual Machines Zero-Day(Google Cloud Blog)
注2:Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies(Google Cloud Blog)
注3:Charles Carmakal(LinkedIn)
注4:DSA-2026-079: Security Update for RecoverPoint for Virtual Machines Hardcoded Credential Vulnerabilit(DELL Technologies)
注5:CISA Adds Two Known Exploited Vulnerabilities to Catalog(CISA)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 生成AIパスポートってどんな試験? 合格した当社の人事担当者に受験意義と勉強法を聞いた
- アサヒ、アスクル事件のその後―― 国内企業のランサム対策はどう変わったか?
- 無料、GPU不要、高精度 国会図書館が作ったOCRツールを触って試す【実践レビュー】
- なぜ「シャドーAI」を使うのか? 調査で分かった“会社公認AI”への不満
- 「PoCで見送り」はむしろ成功? ムダな生成AI活用プロジェクトの“正しい止め方”
- Excelが強すぎる BI導入済みなのに表計算ツールを使う企業がかなり多いワケ
- AIエージェント化の裏で進む、M365のガバナンス強化 Teamsに「EXIF自動削除」実装
- 「GitHubで開発環境が乗っ取られた……」犯人は人気のAIエージェント?:871st Lap
- データ分析を秒で解決、図解で分かるパワーピボットとDAX関数の実践講座
- 石井食品、脱AS/400への「4つの戦略」 30年の安定稼働を捨てたレガシー刷新の記録
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。