Commvault 严重漏洞可导致系统完全沦陷
使用 Commvault Innovation Release 的企业需立即修补 CVE-2025-34028 漏洞。该高危漏洞允许攻击者远程执行代码并获取系统完全控制权。
在企业级备份与数据管理解决方案 Commvault Command Center 中发现一个严重安全漏洞(编号 CVE-2025-34028,CVSS 评分为 9.0/10)。攻击者无需登录即可在存在漏洞的 Commvault 系统上远程执行任意代码。
2025 年 4 月 7 日,watchTowr Labs 研究员 Sonny Macdonald 发现并负责任地报告了该漏洞。分析显示漏洞存在于名为 "deployWebpackage.do" 的 Web 接口组件中。由于缺乏对 Commvault 系统可交互外部服务器的有效验证,该端点易受预认证服务器端请求伪造(SSRF)攻击。
Commvault 在 2025 年 4 月 17 日发布的安全公告中承认,该漏洞"可能导致 Command Center 环境完全沦陷",可能泄露敏感数据并中断关键业务。
攻击链技术解析SSRF 漏洞仅是实现远程代码执行的起点。研究发现,攻击者可进一步利用该漏洞发送特制 ZIP 压缩包(内含恶意 ".JSP" 文件),诱骗 Commvault 服务器从攻击者控制的服务器获取该文件。ZIP 内容会被解压至攻击者可操控的临时目录。
通过精心构造后续请求中的 "servicePack" 参数,攻击者可扫描系统目录,将恶意 ".JSP" 文件移动至可公开访问的位置(如 "../../Reports/MetricsUpload/shell")。最终再次触发 SSRF 漏洞时,攻击者即可从该位置执行恶意文件,实现 Commvault 系统上的任意代码执行。
值得注意的是,该 ZIP 文件并非以常规方式读取,而是在漏洞组件处理前通过"多部分请求"读取。这种机制可能使攻击者绕过常规 Web 请求的安全防护措施。
修复方案与应对建议watchTowr Labs 向 Commvault 报告该问题后,厂商迅速于 2025 年 4 月 10 日发布补丁,并于 4 月 17 日公开披露。经确认,该漏洞仅影响 Linux 和 Windows 平台的 "Innovation Release" 软件版本 11.38.0 至 11.38.19,升级至 11.38.20 或 11.38.25 即可修复。watchTowr Labs 还开发了"检测构件生成器"帮助管理员识别受影响的系统。
行业专家警示ColorTokens 副总裁兼 CISO 顾问 Agnidipta Sarkar 评论称:"这个 CVSS 10 分漏洞允许未经认证的远程代码执行,可能导致 Commvault Command Center 完全沦陷。必须立即采取持续缓解措施。若无法实施全网关闭,可采用 Xshield Gatekeeper 等工具快速隔离关键系统。若不采取行动,将面临严重的勒索软件和数据丢失威胁。"
备份系统安全启示此次事件凸显备份系统正成为网络攻击的高价值目标。这些系统对攻击后恢复至关重要,一旦被控制将构成重大威胁——因其通常存储着企业核心系统的机密凭证。该漏洞的严重性表明,必须及时更新数据保护和备份基础设施的安全补丁。
