美國網路安全暨基礎設施安全局(CISA)於 2026 年 2 月 19 日發布緊急命令,要求聯邦機構在三天內修補一項 Dell RecoverPoint 的最高風險漏洞。該漏洞編號為
CVE-2026-22769,屬於
硬編碼憑證(Hardcoded Credential)類型,CVSS 評分達到最高等級。根據 Mandiant 與 Google 威脅情報小組(GTIG)的研究,此漏洞自 2024 年中即遭疑似中國駭客組織積極利用。
漏洞概述與影響範圍
Dell RecoverPoint 是一套用於 VMware 虛擬機器備份與復原的解決方案,廣泛部署於企業資料中心環境。
CVE-2026-22769 漏洞源於該產品中存在的硬編碼憑證問題,攻擊者可利用此漏洞取得系統存取權限,進而在受害網路中橫向移動並維持持久存取。
CISA 已於週三將此漏洞納入已知遭利用漏洞(KEV)清單,並依據具約束力操作指令(Binding Operational Directive,BOD)22-01 要求聯邦民事行政部門(FCEB)機構於 2 月 21 日(週六)前完成系統防護。
CISA 警告:「這類漏洞是惡意網路行為者常見的攻擊途徑,對聯邦政府構成重大風險。請依照供應商指示套用緩解措施、遵循 BOD 22-01 雲端服務相關指引,或在無法取得緩解措施時停止使用該產品。」
攻擊行動與威脅行為者分析
根據 Mandiant 與 GTIG 的事件回應調查,一個被追蹤為
UNC6201 的疑似中國駭客組織自 2024 年中即開始利用 CVE-2026-22769 漏洞進行攻擊。
攻擊者在取得受害網路存取權後,會部署多種惡意程式,包括 SLAYSTYLE、BRICKSTORM,以及一款新型後門程式 Grimbolt。
研究人員指出,Grimbolt 採用相對較新的編譯技術,使其比前代 Brickstorm 後門更難以分析。UNC6201 於 2025 年 9 月將 Brickstorm 更換為 Grimbolt,但目前尚不清楚這項轉換是計畫性升級或是對事件回應行動的反制措施。
GTIG 同時發現 UNC6201 與中國國家級網路間諜組織
Silk Typhoon(亦被追蹤為 UNC5221)存在部分重疊,但兩者並非完全相同的組織。Silk Typhoon 以利用 Ivanti 零日漏洞攻擊政府機構聞名,曾使用客製化的 Spawnant 與 Zipline 惡意程式進行攻擊。
該組織過去曾成功入侵多個美國政府機構,包括美國財政部、外國資產控制辦公室(OFAC)及美國外國投資委員會(CFIUS),顯示其具備針對高價值目標的攻擊能力。
企業應立即採取的行動
鑑於 CVE-2026-22769 漏洞的最高風險評分與長期遭利用的事實,企業資安團隊應立即採取以下行動:
清查組織內 Dell RecoverPoint 部署情況、
依照 Dell 官方指示套用安全更新或緩解措施、檢視相關系統日誌是否存在異常活動或入侵跡象,以及若無法立即修補則考慮暫時隔離或停用受影響系統。
此外,企業應特別關注備份基礎設施的安全防護。備份系統往往是攻擊者的優先目標,一旦遭到入侵可能導致資料外洩或勒索軟體攻擊時無法復原。
值得注意的是,CISA 上週亦針對
BeyondTrust Remote Support 的遠端程式碼執行漏洞(CVE-2026-1731)發布三天修補令。資安業者 Hacktron 警告約有 11,000 個 BeyondTrust Remote Support 實例暴露於網際網路,其中約 8,500 個為需要手動修補的內部部署環境。
這一系列緊急修補命令顯示,針對企業基礎設施的漏洞利用攻擊正在加劇,組織應建立更敏捷的漏洞管理與應變機制。
本文轉載自bleepingcomputer。