Platforma za bekap podataka Commvault objavila je da je nepoznati haker, iza kojeg stoji država, kompromitovao njeno Microsoft Azure okruženje koristeći CVE-2025-3928 kao zero-day ranjivost, ali ističe da nema dokaza o neovlašćenom pristupu korisničkim podacima.
„Ova aktivnost je uticala na mali broj klijenata koje delimo sa Microsoftom, i sarađujemo sa tim klijentima kako bismo im pružili pomoć“, saopštila je kompanija u ažuriranju.
„Važno je istaći da nije bilo neovlašćenog pristupa rezervnim kopijama korisničkih podataka koje Commvault čuva i štiti, niti je bilo značajnog uticaja na naše poslovanje ili isporuku proizvoda i usluga.“
U savetu objavljenom 7. marta 2025., Commvault navodi da ih je Microsoft obavestio 20. februara o neovlašćenoj aktivnosti u njihovom Azure okruženju i da je ranjivost CVE-2025-3928 korišćena kao nultodnevna. Kompanija je nakon toga resetovala pogođene kredencijale i pojačala sigurnosne mjere.
Ovo otkriće dolazi nakon što je CISA (Američka agencija za cyber bezbjednost i infrastrukturu) dodala CVE-2025-3928 u svoj katalog „Known Exploited Vulnerabilities“ (KEV), zahtevajući od federalnih agencija u SAD da do 19. maja 2025. primene zakrpe za Commvault Web Server.
Preporučene mjere za korisnike:
- Primena Conditional Access politike na sve Microsoft 365, Dynamics 365 i Azure AD aplikacije u single-tenant režimu.
- Rotacija i sinhronizacija „client secret“-ova između Azure portala i Commvault sistema na svakih 90 dana.
- Praćenje prijava u Azure logovima, sa fokusom na pristupe izvan dozvoljenih IP opsega.
IP adrese povezane sa malicioznu aktivnošću:
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53
- 159.242.42.20
Commvault preporučuje da se ove IP adrese eksplicitno blokiraju u okviru Conditional Access politika, i da se aktivnosti iz tih IP frekvenca odmah prijave njihovom timu za podršku radi dalje analize i odgovora.
Izvor:The Hacker News