Platform cadangan data perusahaan Commvault telah mengungkapkan bahwa aktor ancaman negara-negara yang tidak diketahui melanggar lingkungan Microsoft Azure-nya dengan mengeksploitasi CVE-2025-3928 tetapi menekankan tidak ada bukti akses data yang tidak sah.
“Kegiatan ini telah mempengaruhi sejumlah kecil pelanggan yang kami miliki bersama dengan Microsoft, dan kami bekerja dengan pelanggan tersebut untuk memberikan bantuan,” kata perusahaan dalam pembaruan.
“Yang penting, belum ada akses tidak sah ke data cadangan pelanggan yang disimpan dan dilindungi CommVault, dan tidak ada dampak material pada operasi bisnis kami atau kemampuan kami untuk memberikan produk dan layanan.”
Dalam penasihat yang dikeluarkan pada 7 Maret 2025, Commvault mengatakan pihaknya diberitahu oleh Microsoft pada 20 Februari tentang aktivitas yang tidak sah dalam lingkungan Azure dan bahwa aktor ancaman mengeksploitasi CVE-2025-3928 sebagai nol hari. Ia juga mengatakan itu berputar kredensial yang terpengaruh dan langkah -langkah keamanan yang ditingkatkan.
Pengungkapan itu datang ketika Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) menambahkan CVE-2025-3928 ke dalam katalog kerentanan yang diketahui (KEV) yang diketahui, yang mewajibkan agensi Cabang Eksekutif Sipil Federal (FCEB) untuk menerapkan tambalan yang diperlukan untuk server web Commvault pada 19 Mei pada 19 Mei. 2025.
Untuk mengurangi risiko yang ditimbulkan oleh serangan semacam itu, pelanggan disarankan untuk menerapkan kebijakan akses bersyarat untuk semua Microsoft 365, Dynamics 365, dan Azure AD Single-Tenant App Registration, dan memutar dan menyinkronkan rahasia klien antara Azure Portal dan Commvault setiap 90 hari.
Perusahaan juga mendesak pengguna untuk memantau aktivitas masuk untuk mendeteksi setiap upaya akses yang berasal dari alamat IP di luar rentang yang diizinkan. Alamat IP berikut telah dikaitkan dengan aktivitas berbahaya –
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53, dan
- 159.242.42.20
“Alamat IP ini harus secara eksplisit diblokir dalam kebijakan akses bersyarat Anda dan dipantau dalam log masuk Azure Anda,” kata CommVault. “Jika ada upaya akses dari IP ini yang terdeteksi, silakan laporkan insiden segera ke dukungan CommVault untuk analisis dan tindakan lebih lanjut.”
