Commvault разкри подробности за активно експлоатирана уязвимост CVE-2025-3928

Уязвимост с CVSS 8.7 позволява пълен компромис на системи чрез уебшел атаки

Компанията за решения в областта на архивирането и възстановяването на данни Commvault обяви, че уязвимост с идентификатор CVE-2025-3928 е била активно експлоатирана в реална среда още преди официалното ѝ разкриване. Уязвимостта вече е включена в каталога на CISA за известни експлоатирани уязвимости (KEV).

За какво става въпрос?

CVE-2025-3928 представлява неуточнена уязвимост с висок риск (CVSS 8.7), която позволява отдалечено създаване и изпълнение на уебшел скриптове, водещи до пълен контрол върху засегнатата инсталация.

Засегнати са следните версии на Commvault:

11.x преди:
- 11.36.46
- 11.32.89
- 11.28.141
- 11.20.217

Пачове за Windows и Linux са издадени още в края на февруари 2025 г. и организациите се призовават да се уверят, че използват актуализирани версии.

Как беше открита експлоатацията?

На 20 февруари 2025 г., Microsoft уведомява Commvault за неоторизирана активност в нейната Azure среда, извършена от държавно подкрепен атакуващ. При последвалото разследване е установено, че уязвимостта е била zero-day, използвана от заплахата преди да е публично известна.

Въпреки сериозността на инцидента, не е засегната клиентска архивна информация, нито е нанесено съществено въздействие върху бизнеса на компанията.

Потенциално засегнати клиенти и препоръки

Commvault съобщава, че малък брой клиенти, споделящи облачни ресурси с Microsoft, са били засегнати. Компанията работи директно с тези организации и е уведомила съответните регулатори.

Призив за действия

Commvault публикува индикатори за компрометиране (IoCs), включително пет IP адреса, използвани в атаките. Организациите се призовават незабавно да:

Блокират тези IP адреси на корпоративните защитни стени;
Наблюдават логовете за вход в Azure, Microsoft 365 и Dynamics 365;
Прилагат Conditional Access политики за достъп до облачни ресурси;
Ротират тайни (secrets) между Azure и Commvault на всеки 90 дни;
Ограничат достъпа до доверени IP адреси чрез whitelist контрол.

Изводи

Случаят с CVE-2025-3928 подчертава нуждата от бърза реакция при сигнали за уязвимости, както и от активно сътрудничество между доставчици и клиенти. Прилагането на добри практики за киберсигурност и навременна актуализация на системите е критично важно за ограничаване на рисковете от целенасочени атаки, включително от държавно подкрепени заплахи.

#бъгове

По материали от Интернет

Подобни

Oпасен бъг в React Server Components

5.12.2025

laptop-bug-fix-lvcandy-istock-vectors-getty-images-56a6fa1b5f9b58b7d0e5ce40

Критична уязвимост във Vim за Windows

5.12.2025

vulnerabilities pexels-shkrabaanthony-5475752

Критична уязвимост в Sneeit Framework за WordPress е под активна експлоатация

5.12.2025

Социален инженеринг извън имейлите - заплахите в реалния живот

5.12.2025

Microsoft тихомълком поправи критична уязвимост в Windows Shortcut (LNK)

4.12.2025

Критична уязвимост в Microsoft Azure API Management

2.12.2025

80% of companies experience security incidents in the Cloud

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"