Commvault 零日漏洞被利用，成为 SaaS 云应用攻击活动的一部分

美国网络安全和基础设施安全局(CISA)近日发出警告，称威胁行为者正在滥用Commvault的SaaS云应用Metallic，以获取其客户的关键应用密钥。

漏洞利用导致M365环境遭入侵

根据CISA发布的公告，威胁行为者可能已通过Commvault的Metallic Microsoft 365(M365)备份解决方案获取了客户密钥。该解决方案托管在Microsoft Azure上，攻击者借此获得了对客户M365环境的未授权访问权限，这些环境中存储了由Commvault保管的应用密钥。

攻击者利用一个零日漏洞实现了对Commvault M365密钥的未授权访问。微软曾在2月份警告Commvault，称其Web Server存在一个未公开的高危漏洞(编号为CVE-2025-3928)，且某国家支持的黑客组织正在积极利用该漏洞获取Azure环境的访问权限。

Black Duck基础设施安全实践总监Thomas Richards表示，SaaS工作流本身存在脆弱性。"虽然SaaS解决方案减轻了企业在托管和基础设施方面的管理负担，但另一方面企业也无法对这些环境进行安全控制。当Commvault遭到入侵时，受害者甚至没有意识到发生了数据泄露。"

CVE-2025-3928对SaaS安全的影响

CISA在公告中指出，怀疑CVE-2025-3928漏洞的利用是针对SaaS应用的更广泛攻击活动的一部分，这些应用通常采用默认设置并拥有高级权限。

BeyondTrust现场首席技术官James Maude评论道："这凸显了允许第三方特权访问环境所涉及的风险——他们的漏洞就是你的漏洞。"

"虽然许多企业对承包商和第三方使用的人工账户访问权限有严格的控制措施，但对于支持机器间交互的非人类身份和密钥，情况往往大不相同，"Maude补充道。

根据Commvault的调查，国家支持的黑客组织通过零日漏洞CVE-2025-3928获取了部分应用凭证，这些凭证被某些Commvault客户用于验证其M365环境。

CISA呼吁立即修补漏洞

这个影响Commvault Web Server的高危漏洞(CVSS评分为8.7分)使攻击者能够在受感染环境中创建和执行Webshell。2025年4月28日，CISA将该漏洞列入已知被利用漏洞目录(KEV)，要求联邦民事行政部门(FCEB)机构在2025年5月19日前修补系统，以消除各民事机构中的危险漏洞。

该公司在2月份收到微软警告后迅速修复了该漏洞。修复程序已在Commvault 11.36.46、11.32.89、11.28.141和11.20.217版本中推出。

CISA建议企业立即应用补丁并采取额外缓解措施，包括监控和审查Microsoft Entra审计日志、Entra登录和统一审计日志，实施条件访问策略以限制单租户应用内的身份验证，以及轮换Commvault Metallic应用中的应用密钥和凭证。

DoControl首席执行官Omri Weinberg将此事件与更广泛的趋势联系起来。"攻击者正从终端和基于网络的攻击转向利用权限过大的SaaS环境和配置错误的云应用，"Weinberg表示。"安全团队需要像对待传统基础设施一样严格对待SaaS——从强访问治理开始，持续监控第三方应用集成，并通过最小权限访问限制爆炸半径。"

Commvault在5月的一份声明中表示，内部调查未发现任何未经授权访问客户备份数据的情况，并预计该事件不会对Commvault的业务运营或其提供产品和服务的能力产生实质性影响。