La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) reveló el jueves que Commvault está monitoreando la actividad de amenazas cibernéticas dirigidas a aplicaciones alojadas en su entorno en la nimbo de Microsoft Azure.
«Los actores de amenaza pueden activo accedido a los secretos del cliente para la posibilidad de copia de seguridad de Commvault (metalic) Microsoft 365 (M365) de copia de seguridad como servicio (SaaS), alojada en Azure», dijo la agencia.
«Esto proporcionó a los actores de amenaza golpe no acreditado a los entornos M365 de los clientes de Commvault que tienen secretos de aplicación almacenados por Commvault».
CISA señaló adicionalmente que la actividad puede ser parte de una campaña más amplia dirigida a varias infraestructuras en la nimbo de proveedores de software como servicio (SaaS) con configuraciones predeterminadas y permisos elevados.
El aviso se produce semanas a posteriori de que Commvault revelara que Microsoft notificó a la compañía en febrero de 2025 de actividad no autorizada por un actor de amenaza de estado-nación adentro de su entorno de Azure.
El incidente condujo al descubrimiento de que los actores de amenaza habían estado explotando una vulnerabilidad de día cero (CVE-2025-3928), una defecto no especificada en el servidor web de CommVault que permite a un atacante remoto y autenticado crear y ejecutar capas web.
«Según los expertos de la industria, este actor de amenaza utiliza técnicas sofisticadas para tratar de obtener golpe a los entornos del cliente M365», dijo Commvault en un anuncio. «Este actor de amenaza puede activo accedido a un subconjunto de credenciales de aplicaciones que ciertos clientes de CommVault usan para autenticar sus entornos M365».
Commvault dijo que ha tomado varias acciones correctivas, incluidas las credenciales de aplicaciones rotativas para M365, pero enfatizó que no ha habido golpe no acreditado a los datos de respaldo de los clientes.
Para mitigar tales amenazas, CISA recomienda que los usuarios y los administradores sigan las pautas a continuación –
- Monitorear los registros de auditoría de Entra para modificaciones no autorizadas o adiciones de credenciales a los directores de servicio iniciados por CommVault Solications/Service Principales
- Revise los registros de Microsoft (Auditoría de Entra, Iniciado Entra, registros de auditoría unificado) y realice una caza de amenazas internas
- Para aplicaciones de inquilinos individuales, implementa una política de golpe condicional que limita la autenticación de un principal de servicio de aplicación a una dirección IP aprobada que figura adentro de la escala de direcciones IP de CommVault.
- Revise la tira de registros de aplicaciones y directores de servicio en Entra con consentimiento chupatintas para privilegios más altos que la aprieto comercial
- Restringir el golpe a las interfaces de encargo de CommVault a redes de confianza y sistemas administrativos
- Detectar y rodear los intentos de transmisión de ruta y las cargas sospechosas de archivos mediante la implementación de un firewall de aplicación web y eliminando el golpe foráneo a las aplicaciones de CommVault
CISA, que agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotados conocidos a fines de abril de 2025, dijo que continúa investigando la actividad maliciosa en colaboración con organizaciones asociadas.
