Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Kamis mengungkapkan bahwa Commvault memantau aktivitas ancaman dunia maya yang menargetkan aplikasi yang di -host di lingkungan cloud Microsoft Azure mereka.
“Aktor ancaman mungkin telah mengakses Rahasia Klien untuk CommVault's (Metallic) Microsoft 365 (M365) Solusi Software-as-a-Service (SaaS), yang di-host di Azure,” kata agensi itu.
“Ini memberi aktor ancaman akses tidak sah ke lingkungan M365 pelanggan CommVault yang memiliki rahasia aplikasi yang disimpan oleh CommVault.”
Lebih lanjut CISA mencatat bahwa kegiatan tersebut dapat menjadi bagian dari kampanye yang lebih luas yang menargetkan berbagai infrastruktur cloud penyedia perangkat lunak-sebagai-layanan (SaaS) dengan konfigurasi default dan izin yang ditinggikan.
Penasihat datang berminggu-minggu setelah Commvault mengungkapkan bahwa Microsoft memberi tahu perusahaan pada Februari 2025 tentang kegiatan yang tidak sah oleh aktor ancaman negara-bangsa dalam lingkungan Azure.
Insiden ini menyebabkan penemuan bahwa para aktor ancaman telah mengeksploitasi kerentanan nol-hari (CVE-2025-3928), cacat yang tidak ditentukan di server web CommVault yang memungkinkan penyerang jarak jauh dan terotentikasi untuk membuat dan menjalankan shell web.
“Berdasarkan pakar industri, aktor ancaman ini menggunakan teknik canggih untuk mencoba mendapatkan akses ke lingkungan M365 pelanggan,” kata CommVault dalam sebuah pengumuman. “Aktor ancaman ini mungkin telah mengakses subset kredensial aplikasi yang digunakan pelanggan CommVault tertentu untuk mengotentikasi lingkungan M365 mereka.”
CommVault mengatakan telah mengambil beberapa tindakan perbaikan, termasuk kredensial aplikasi berputar untuk M365, tetapi menekankan bahwa belum ada akses yang tidak sah ke data cadangan pelanggan.
Untuk mengurangi ancaman seperti itu, CISA merekomendasikan agar pengguna dan administrator mengikuti pedoman di bawah ini –
- Pantau log audit entra untuk modifikasi atau penambahan kredensial yang tidak sah
- Tinjau Log Microsoft (Audit Entra, masuk entra, log audit terpadu) dan melakukan perburuan ancaman internal
- Untuk aplikasi penyewa tunggal, terapkan kebijakan akses bersyarat yang membatasi otentikasi kepala sekolah aplikasi ke alamat IP yang disetujui yang tercantum dalam rentang alamat IP CommVault yang diizinkan
- Tinjau daftar pendaftaran aplikasi dan prinsipal layanan di entra dengan persetujuan administratif untuk hak istimewa yang lebih tinggi daripada kebutuhan bisnis
- Batasi akses ke antarmuka manajemen CommVault ke jaringan tepercaya dan sistem administrasi
- Mendeteksi dan memblokir upaya traversal path dan unggahan file yang mencurigakan dengan menggunakan firewall aplikasi web dan menghapus akses eksternal ke aplikasi Commvault
CISA, yang menambahkan CVE-2025-3928 ke katalog kerentanan yang diketahui dieksploitasi pada akhir April 2025, mengatakan mereka terus menyelidiki aktivitas jahat bekerja sama dengan organisasi mitra.
