Уязвимост с CVSS 8.7 позволява пълен компромис на системи чрез уебшел атаки
Компанията за решения в областта на архивирането и възстановяването на данни Commvault обяви, че уязвимост с идентификатор CVE-2025-3928 е била активно експлоатирана в реална среда още преди официалното ѝ разкриване. Уязвимостта вече е включена в каталога на CISA за известни експлоатирани уязвимости (KEV).
CVE-2025-3928 представлява неуточнена уязвимост с висок риск (CVSS 8.7), която позволява отдалечено създаване и изпълнение на уебшел скриптове, водещи до пълен контрол върху засегнатата инсталация.
Засегнати са следните версии на Commvault:
11.x преди:
11.36.46
11.32.89
11.28.141
11.20.217
Пачове за Windows и Linux са издадени още в края на февруари 2025 г. и организациите се призовават да се уверят, че използват актуализирани версии.
На 20 февруари 2025 г., Microsoft уведомява Commvault за неоторизирана активност в нейната Azure среда, извършена от държавно подкрепен атакуващ. При последвалото разследване е установено, че уязвимостта е била zero-day, използвана от заплахата преди да е публично известна.
Въпреки сериозността на инцидента, не е засегната клиентска архивна информация, нито е нанесено съществено въздействие върху бизнеса на компанията.
Commvault съобщава, че малък брой клиенти, споделящи облачни ресурси с Microsoft, са били засегнати. Компанията работи директно с тези организации и е уведомила съответните регулатори.
Commvault публикува индикатори за компрометиране (IoCs), включително пет IP адреса, използвани в атаките. Организациите се призовават незабавно да:
Блокират тези IP адреси на корпоративните защитни стени;
Наблюдават логовете за вход в Azure, Microsoft 365 и Dynamics 365;
Прилагат Conditional Access политики за достъп до облачни ресурси;
Ротират тайни (secrets) между Azure и Commvault на всеки 90 дни;
Ограничат достъпа до доверени IP адреси чрез whitelist контрол.
Случаят с CVE-2025-3928 подчертава нуждата от бърза реакция при сигнали за уязвимости, както и от активно сътрудничество между доставчици и клиенти. Прилагането на добри практики за киберсигурност и навременна актуализация на системите е критично важно за ограничаване на рисковете от целенасочени атаки, включително от държавно подкрепени заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
