米国の防衛部門のサイバー防御担当者は、連邦政府機関に対して、2024年半ば以降に積極的に悪用されている最高度の深刻度のDellのバグを修正するために、わずか3日間の期限を設定しました。
CISAは今週、CVE-2026-22769として追跡されているこの脆弱性を、既知の悪用されている脆弱性カタログに追加し、民間機関に対して2月21日までに影響を受けたシステムを保護することを命じ、修正プログラムを導入するためにわずか3日間を与えています。
「このタイプの脆弱性は、悪意あるサイバー攻撃者による頻繁な攻撃の手口であり、連邦政府のシステムに大きなリスクをもたらします」とCISAは警告し、異常に短い修復期限の緊急性を強調しました。
このバグはDell RecoverPoint for Virtual Machinesに影響し、攻撃者が無許可のアクセスを取得できるようにするハードコードされた認証情報に起因しています。Dellは今週初めに問題を開示し、パッチを提供しました。また、犯罪者がすでに修正が利用可能になる前にこれを悪用していたことを指摘しています。
「この脆弱性の限定的な積極的悪用の報告を受け取りました」とDellのスポークスパーソンは当時The Registerに述べ、顧客に推奨される対策を直ちに講じるよう促しました。
研究者によると、このバグは急速に、疑わしい中国関連の実行者に結びついたより広いスパイ活動の計画に組み込まれました。Googleのマンディアント事件対応チームによると、悪意あるアクターは少なくとも2024年半ば以降、このバグを悪用してネットワーク内を横展開し、永続性を保ち、様々なマルウェアファミリーを展開しています。
野生で見られるツールの中には、Brickstormバックドアと、Grimboltと呼ばれる新しいプラントが含まれており、これはある場合には古いマルウェアに置き換わっています。研究者は攻撃者がアラームをトリガーせずに、侵害された環境を静かに旋回させるために仮想マシン上に「ゴーストNIC」と呼ばれるものを起動させているのを目撃しました。
マンディアントによると、UNC6201として追跡されているクラスタは、長期間にわたる侵入中に、Slaystyle、Brickstorm、Grimboltを含む複数のペイロードを展開するためにこの脆弱性を使用しています。同社は現在のところ確認された被害者は1ダース未満であると述べていますが、実際の数はより高い可能性があります。
マンディアントは、このアクティビティは政府機関をターゲットにしていることで知られており、カスタムマルウェアに関連する侵害に以前から結びついている中国政府支援のスパイ活動グループ「Silk Typhoon」と共通の特徴を共有していると述べています。このグループは、米国連邦政府のシステムを含む機密ネットワークに侵入するためにゼロデイバグを繰り返し悪用しています。
最新の指令は、CISAが積極的に悪用されているバグの開示と修復の間のウィンドウを縮小しようと努力しているため、急速な修正パッチ命令のパターンを続けています。先週、同機関は連邦政府機関に対して、別のリモートコード実行の脆弱性に対してBeyondTrust Remote Supportインスタンスをロックダウンするために3日間を与えています。
CISAが3日間の期限でバグをKEVリストに追加する場合、それは穏やかなリマインダーというより、「今すぐパッチを当てて、後で質問する」という点滅するネオンサインです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/20/cisa_dell_vulnerability/
