A Commvault, az egyik vezető vállalati adatmentési platform nyilvánosságra hozta, hogy egy ismeretlen támadó sikeresen behatolt a Commvault Microsoft Azure-alapú környezetébe. A támadás során egy korábban nem ismert, 0day sérülékenységet használtak ki, amely a Commvault Web Server komponensében található.
A Commvault hivatalos közleménye szerint a Microsoft 2025. február 20-án tájékoztatta a céget arról, hogy gyanús aktivitást észleltek annak Azure felhőkörnyezetében. A támadás során a CVE-2025-3928 azonosítójú sebezhetőséget használták ki, amelyet a támadók zero-day-ként alkalmaztak, azaz a támadás idején még nem állt rendelkezésre publikus információ vagy javítás az érintett hibáról. A Commvault a támadás észlelése után haladéktalanul lépett: az érintett hitelesítő adatokat lecserélték, megerősítették a biztonsági beállításokat, és közvetlenül felvették a kapcsolatot azokkal az ügyfeleikkel, akiket az eset potenciálisan érinthetett. A vállalat hangsúlyozta: nincs bizonyíték arra, hogy az ügyféladatokhoz illetéktelen hozzáférés történt volna.
Később az amerikai CISA felvette a CVE-2025-3928 sérülékenységet a Known Exploited Vulnerabilities (KEV) katalógusába. A listára való felkerülés egyértelmű indikátora annak, hogy a sérülékenységet aktívan kihasználják a támadók, ezért minden érintett szervezet számára sürgős a javítás telepítése, függetlenül attól, hogy jelenleg észleltek-e konkrét támadási kísérletet.
A CVE-2025-3928 a Commvault Web Server komponensét érinti, amely a platform webes adminisztrációs és önkiszolgáló interfészeit biztosítja. A támadás a Microsoft Azure környezeten belül történt, és a Commvault azon ügyfeleit érinthette, akik együtt használják a Microsoft felhőszolgáltatásait és a Commvault mentési megoldásait.
A támadók vélhetően az Azure-on keresztül regisztrált alkalmazások (App Registrations) és single-tenant környezeteket célozták, amelyek lehetővé tették a Web Server komponens manipulálását vagy illetéktelen tokenek generálását.
A Commvault és a Microsoft is több intézkedést javasol az érintett környezetek védelmére:
- Conditional Access szabályok bevezetése: Minden Microsoft 365, Dynamics 365 és Azure AD-hoz kapcsolódó single-tenant alkalmazás-regisztrációra alkalmazni kell Conditional Access szabályokat. IP-alapú engedélyezési listák és többfaktoros hitelesítés szigorúan javasolt.
- Hitelesítési adatok rotálása: Minden olyan ügyfél, aki Commvault és Azure integrációt használ, rotálja a kliens titkos kulcsait (client secrets) legalább 90 naponta. A kulcsokat szinkronizálni kell az Azure portál és a Commvault rendszer között.
- Hozzáférési naplók folyamatos figyelése: Kiemelten monitorozni kell a belépési eseményeket, különösen az alábbi gyanús IP-címekről érkező aktivitást:
- 69.148.100
- 92.80.210
- 153.42.129
- 6.189.53
- 242.42.20
Ezeket az IP-címeket a Conditional Access szabályokban célszerű explicit módon tiltani.
- Incidenskezelés és bejelentés: Amennyiben bármilyen hozzáférési kísérlet vagy anomália észlelhető ezekről az IP címekről, azt haladéktalanul jelenteni kell a Commvault támogatási csapatának további vizsgálat és forensic elemzés céljából.
A mentési rendszerek gyakran a támadók elsődleges célpontjai közé tartoznak, különösen zsarolóvírusos támadások vagy adatszivárgás esetén. Egy backup-rendszer kompromittálása lehetővé teheti a támadók számára az adatok helyreállításának megakadályozását, kiszivárogtatását vagy visszaállítását rejtett környezetben, valamint a teljes vállalati informatikai ökoszisztéma bénítását.
A Commvault esete arra is figyelmeztet, hogy még a piacvezető, megbízhatónak tartott infrastruktúra-elemek is tartalmazhatnak kritikus sebezhetőségeket, különösen, ha azokat bonyolult felhős integrációkban használják.