La plataforma de respaldo de Data Enterprise CommVault ha revelado que un actor de amenaza de estado nación desconocido violó su entorno de Microsoft Azure al explotar CVE-2025-3928, pero enfatizó que no hay evidencia de acercamiento a datos no competente.
“Esta actividad ha afectado a un pequeño número de clientes que tenemos en popular con Microsoft, y estamos trabajando con esos clientes para cumplimentar socorro”, dijo la compañía en una aggiornamento.
“Es importante destacar que no ha habido acercamiento no competente a los datos de respaldo de los clientes que CommVault almacenan y protege, y no hay impacto material en nuestras operaciones comerciales o nuestra capacidad para cumplimentar productos y servicios”.
En un aviso emitido el 7 de marzo de 2025, Commvault dijo que fue notificado por Microsoft el 20 de febrero sobre la actividad no autorizada internamente de su entorno azulado y que el actor de amenaza explotó CVE-2025-3928 como un día cero. Todavía dijo que rotó las credenciales afectadas y las medidas de seguridad mejoradas.
La divulgación se produce cuando la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales de rama ejecutiva civil (FCEB) apliquen los parches necesarios para el servidor web CommVault para el 19 de mayo de 2025.
Para mitigar el aventura planteado por dichos ataques, se aconseja a los clientes que apliquen una política de acercamiento condicional a todos los registros de aplicaciones de inquilinos de Microsoft 365, Dynamics 365 y Azure AD, y roten y sincronizan los secretos del cliente entre Azure Portal y CommVault cada 90 días.
La compañía además insta a los usuarios a monitorear la actividad de inicio de sesión para detectar cualquier intento de acercamiento que se origine desde direcciones IP fuera de los rangos de cinta permitida. Las siguientes direcciones IP se han asociado con actividad maliciosa –
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53, y
- 159.242.42.20
“Estas direcciones IP deben bloquearse explícitamente internamente de sus políticas de acercamiento condicional y monitorear en sus registros de inicio de sesión de Azure”, dijo Commvault. “Si se detectan algún intento de acercamiento de estos IP, crónica el incidente de inmediato al apoyo de CommVault para su posterior exploración y acciones”.
