A Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) revelou na quinta-feira que a Commvault está monitorando atividades de ameaças cibernéticas direcionadas a aplicações hospedadas no ambiente de nuvem Microsoft Azure da empresa.
"Atores de ameaças podem ter acessado segredos de cliente para o software Commvault (Metallic) Microsoft 365 (M365) backup como serviço (SaaS - Software-as-a-Service), hospedado no Azure," disse a agência.
Isso forneceu aos atores de ameaça acesso não autorizado aos ambientes M365 dos clientes da Commvault que têm segredos de aplicação armazenados pela Commvault.
A CISA ainda observou que a atividade pode ser parte de uma campanha mais ampla que visa a infraestrutura de nuvem de vários provedores de SaaS com configurações padrão e permissões elevadas.
O aviso vem semanas após a Commvault revelar que a Microsoft notificou a empresa em Fevereiro de 2025 sobre atividade não autorizada por um ator de ameaça de estado-nação dentro de seu ambiente Azure.
O incidente levou à descoberta de que os atores de ameaça estavam explorando uma vulnerabilidade de zero-day (
CVE-2025-3928
), uma falha não especificada no Servidor Web da Commvault que permite a um atacante remoto autenticado criar e executar web shells.
"Baseado em especialistas da indústria, este ator de ameaça usa técnicas sofisticadas para tentar ganhar acesso aos ambientes M365 dos clientes," disse a Commvault em um anúncio.
Este ator de ameaça pode ter acessado um subconjunto de credenciais de aplicativos que certos clientes da Commvault usam para autenticar seus ambientes M365.
A Commvault disse ter tomado várias ações corretivas, incluindo a rotação de credenciais de aplicativos para M365, mas enfatizou que não houve acesso não autorizado aos dados de backup dos clientes.
Para mitigar tais ameaças, a CISA está recomendando que usuários e administradores sigam as diretrizes abaixo:
- Monitorar os logs de auditoria do Entra para modificações ou adições não autorizadas de credenciais aos principais serviços iniciados por aplicativos/principais serviços da Commvault;
- Revisar os logs da Microsoft (auditoria Entra, sign-in Entra, logs de auditoria unificados) e conduzir caça interna às ameaças;
- Para aplicativos de inquilino único, implementar uma política de acesso condicional que limite a autenticação de um principal de serviço de aplicativo a um endereço IP aprovado que esteja listado dentro do intervalo de IPs permitidos pela Commvault;
- Revisar a lista de Registros de Aplicativos e Principais Serviços no Entra com consentimento administrativo para privilégios mais altos do que a necessidade do negócio;
- Restringir o acesso às interfaces de gerenciamento da Commvault a redes confiáveis e sistemas administrativos;
Detectar e bloquear tentativas de traversal de caminho e uploads de arquivos suspeitos, implantando um Firewall de Aplicação Web e removendo o acesso externo a aplicações da Commvault
A CISA, que acrescentou o
CVE-2025-3928
ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas no final de abril de 2025, disse que continua a investigar a atividade maliciosa em colaboração com organizações parceiras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...