La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) reveló el jueves que Commvault está monitoreando la actividad de amenazas cibernéticas dirigidas a aplicaciones alojadas en su entorno en la abundancia de Microsoft Azure.
“Los actores de amenaza pueden acontecer accedido a los secretos del cliente para la decisión de copia de seguridad de Commvault (metalic) Microsoft 365 (M365) de copia de seguridad como servicio (SaaS), alojada en Azure”, dijo la agencia.
“Esto proporcionó a los actores de amenaza camino no acreditado a los entornos M365 de los clientes de Commvault que tienen secretos de aplicación almacenados por Commvault”.
CISA señaló adicionalmente que la actividad puede ser parte de una campaña más amplia dirigida a varias infraestructuras en la abundancia de proveedores de software como servicio (SaaS) con configuraciones predeterminadas y permisos elevados.
El aviso se produce semanas a posteriori de que Commvault revelara que Microsoft notificó a la compañía en febrero de 2025 de actividad no autorizada por un actor de amenaza de estado-nación internamente de su entorno de Azure.
El incidente condujo al descubrimiento de que los actores de amenaza habían estado explotando una vulnerabilidad de día cero (CVE-2025-3928), una falta no especificada en el servidor web de CommVault que permite a un atacante remoto y autenticado crear y ejecutar capas web.
“Según los expertos de la industria, este actor de amenaza utiliza técnicas sofisticadas para tratar de obtener camino a los entornos del cliente M365”, dijo Commvault en un anuncio. “Este actor de amenaza puede acontecer accedido a un subconjunto de credenciales de aplicaciones que ciertos clientes de CommVault usan para autenticar sus entornos M365”.
Commvault dijo que ha tomado varias acciones correctivas, incluidas las credenciales de aplicaciones rotativas para M365, pero enfatizó que no ha habido camino no acreditado a los datos de respaldo de los clientes.
Para mitigar tales amenazas, CISA recomienda que los usuarios y los administradores sigan las pautas a continuación –
- Monitorear los registros de auditoría de Entra para modificaciones no autorizadas o adiciones de credenciales a los directores de servicio iniciados por CommVault Solications/Service Principales
- Revise los registros de Microsoft (Auditoría de Entra, Iniciado Entra, registros de auditoría unificado) y realice una caza de amenazas internas
- Para aplicaciones de inquilinos individuales, implementa una política de camino condicional que limita la autenticación de un principal de servicio de aplicación a una dirección IP aprobada que figura internamente de la tonalidad de direcciones IP de CommVault.
- Revise la letanía de registros de aplicaciones y directores de servicio en Entra con consentimiento burócrata para privilegios más altos que la pobreza comercial
- Restringir el camino a las interfaces de administración de CommVault a redes de confianza y sistemas administrativos
- Detectar y cercar los intentos de transmisión de ruta y las cargas sospechosas de archivos mediante la implementación de un firewall de aplicación web y eliminando el camino foráneo a las aplicaciones de CommVault
CISA, que agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotados conocidos a fines de abril de 2025, dijo que continúa investigando la actividad maliciosa en colaboración con organizaciones asociadas.
