La plataforma de respaldo de Data Enterprise CommVault ha revelado que un actor de amenaza de estado nación desconocido violó su entorno de Microsoft Azure al explotar CVE-2025-3928, pero enfatizó que no hay evidencia de ataque a datos no acreditado.
«Esta actividad ha afectado a un pequeño número de clientes que tenemos en popular con Microsoft, y estamos trabajando con esos clientes para saludar subvención», dijo la compañía en una modernización.
«Es importante destacar que no ha habido ataque no acreditado a los datos de respaldo de los clientes que CommVault almacenan y protege, y no hay impacto material en nuestras operaciones comerciales o nuestra capacidad para saludar productos y servicios».
En un aviso emitido el 7 de marzo de 2025, Commvault dijo que fue notificado por Microsoft el 20 de febrero sobre la actividad no autorizada interiormente de su entorno azulado y que el actor de amenaza explotó CVE-2025-3928 como un día cero. Todavía dijo que rotó las credenciales afectadas y las medidas de seguridad mejoradas.
La divulgación se produce cuando la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales de rama ejecutiva civil (FCEB) apliquen los parches necesarios para el servidor web CommVault para el 19 de mayo de 2025.
Para mitigar el peligro planteado por dichos ataques, se aconseja a los clientes que apliquen una política de ataque condicional a todos los registros de aplicaciones de inquilinos de Microsoft 365, Dynamics 365 y Azure AD, y roten y sincronizan los secretos del cliente entre Azure Portal y CommVault cada 90 días.
La compañía asimismo insta a los usuarios a monitorear la actividad de inicio de sesión para detectar cualquier intento de ataque que se origine desde direcciones IP fuera de los rangos de repertorio permitida. Las siguientes direcciones IP se han asociado con actividad maliciosa –
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53, y
- 159.242.42.20
«Estas direcciones IP deben bloquearse explícitamente interiormente de sus políticas de ataque condicional y monitorear en sus registros de inicio de sesión de Azure», dijo Commvault. «Si se detectan algún intento de ataque de estos IP, noticia el incidente de inmediato al apoyo de CommVault para su posterior descomposición y acciones».
