De US Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag aangetoond dat Commvault cyberdreigingsactiviteit in de gaten houdt die zich richt op applicaties die zijn gehost in hun Microsoft Azure Cloud -omgeving.
“Dreigingsacteurs hebben mogelijk toegang tot klantgeheimen voor de (metalen) Microsoft 365 (M365) back-upsoftware-as-a-service (SaaS) -oplossing van Commvault, gehost in Azure,” zei het bureau.
“Dit bood de dreigingsactoren van ongeautoriseerde toegang tot de M365 -omgevingen van Commvault’s klanten met applicatiegeheimen die door Commvault zijn opgeslagen.”
CISA merkte verder op dat de activiteit onderdeel kan zijn van een bredere campagne die zich richt op verschillende software-as-a-service (SaaS) -aanbieders van cloudinfrastructuren met standaardconfiguraties en verhoogde machtigingen.
Het advies komt weken nadat Commvault heeft aangetoond dat Microsoft het bedrijf in februari 2025 op de hoogte heeft gesteld van ongeautoriseerde activiteiten door een natiestaatbedreigingsacteur in zijn Azure-omgeving.
Het incident leidde tot de ontdekking dat de dreigingsacteurs een zero-day kwetsbaarheid hadden benut (CVE-2025-3928), een niet-gespecificeerde fout in de Commvault Web Server die een externe, geverifieerde aanvaller in staat stelt om webschalen te maken en uit te voeren.
“Op basis van experts uit de industrie gebruikt deze dreigingsacteur geavanceerde technieken om te proberen toegang te krijgen tot M365 -omgevingen van de klant,” zei Commvault in een aankondiging. “Deze dreigingsacteur heeft mogelijk toegang tot een subset van app -referenties die bepaalde Commvault -klanten gebruiken om hun M365 -omgevingen te verifiëren.”
Commvault zei dat het verschillende corrigerende acties heeft ondernomen, waaronder roterende app -referenties voor M365, maar benadrukte dat er geen ongeoorloofde toegang is geweest tot back -upgegevens van klanten.
Om dergelijke bedreigingen te verminderen, beveelt CISA aan dat gebruikers en beheerders de onderstaande richtlijnen volgen –
- Controleer Entra -auditlogboeken voor ongeautoriseerde wijzigingen of toevoegingen van referenties aan serviceprincipals geïnitieerd door Commvault -applicaties/Dienstopdrachten
- Bekijk Microsoft Logs (Entra Audit, Entra-aanmelding, Unified Audit Logs) en voer interne dreigingsjacht uit
- Voor enkele huurder -apps, implementeer een voorwaardelijk toegangsbeleid dat de authenticatie van een applicatiedienstprincipaal beperkt tot een goedgekeurd IP -adres dat wordt vermeld in het toegestane assortiment van IP -adressen van Commvault
- Bekijk de lijst met toepassingsregistraties en dienstenprincipes in Entra met administratieve toestemming voor hogere privileges dan de zakelijke behoefte
- Beperk de toegang tot Commvault Management -interfaces tot vertrouwde netwerken en administratieve systemen
- Detecteer en blokkeer path-traversale pogingen en verdachte bestandsuploads door een webtoepassing te implementeren en externe toegang tot Commvault-applicaties te verwijderen
CISA, dat CVE-2025-3928 eind april 2025 heeft toegevoegd aan de bekende uitgebreide kwetsbaarhedencatalogus, zei dat het de kwaadaardige activiteit in samenwerking met partnerorganisaties blijft onderzoeken.
