Commvault, globalni lider u korporativnim rješenjima za zaštitu i upravljanje podacima , hitno je zakrpio ranjivost web servera visoke ozbiljnosti koja omogućava napadačima da kompromituju sisteme kreiranjem i izvršavanjem malicioznih web shell-ova.
Greška utiče na više verzija Commvault-ovog softvera na Linux i Windows platformama, predstavljajući značajne rizike od neovlaštenog pristupa, eksfiltracije podataka i sistemskih povreda.
Ranjivost se nalazi u komponenti web servera Commvault-ovog softverskog steka, gdje nepravilna provjera valjanosti unosa omogućava hakerima da ubace i izvrše proizvoljan kod preko web-škola.
Ove skrivene skripte daju trajni daljinski pristup, omogućavajući napadačima da zaobiđu autentifikaciju , manipulišu zaštićenim podacima i okrenu se drugim mrežnim resursima.
Web shell-ovi koji su obično napisani u ASP, PHP ili JSP često se postavljaju putem kompromitovanih mehanizama za otpremanje datoteka ili napada ubrizgavanjem .
U ovom slučaju, mana dozvoljava napadačima da zapišu izvršne datoteke u direktorij web servera i pokreću ih putem HTTP zahtjeva.
Commvault-ov savjet eksplicitno upozorava da “Web serveri mogu biti kompromitovani kroz loše hakere koji kreiraju i izvršavaju web-shell”, naglašavajući direktan put do preuzimanja sistema.
Pogođene verzije softvera
Ranjivost utiče na sve podržane Commvault verzije od 11.20 do 11.36.
Zakrpljena izdanja su prvobitno uvedena 4. marta 2025., s dodatnim popravkama 7. marta kako bi se ojačala sigurnost web servera.
Organizacije moraju ažurirati i CommServe i komponente Web servera na riješene verzije.
Odgađanje zakrpa rizikuje eksploataciju, jer web-škole mogu izbjeći tradicionalne sisteme detekcije uz zadržavanje tajnog pristupa.
Ublažavanja
Commvault nalaže trenutnu instalaciju izdanja za održavanje putem uslužnog programa „Ažuriranja softvera na zahtjev“. Administratori bi trebali:
- Potvrditi trenutne verzije softvera pomoću Get-CommVaultVersion PowerShell cmdleta.
- Preuzmu zakrpe iz Commvault-ovog zaštićenog skladišta koristeći TLS 1.2+ protokole.
- Postavite ažuriranja tokom perioda održavanja, osiguravajući kompatibilnost sa povezanim modulima kao što su CommCell Console i Content Store.
Segmentacija mreže i stroga pravila ulaznog/izlaznog zaštitnog zida za Commvault-ove web portove (npr. TCP/80, TCP/443) su kritične privremene mjere za okruženja koja zahtijevaju odloženo zakrpe.
Osim toga, evidencije revizije za anomalne POST zahtjeve za /webconsole/API ili neočekivane kreacije *.jspx datoteka mogu pomoći u otkrivanju pokušaja eksploatacije.
Iako specifičnosti eksploatacije ostaju neotkrivene, istraživači trećih strana nagađaju da to uključuje nepravilnu sanaciju putanja koje je dao korisnik u rukovaocima za otpremanje datoteka.
Sa Commvault softverom koji je integralni dio globalnih infrastruktura za zaštitu podataka koji se protežu u finansijskim, zdravstvenim i državnim sektorima – ova ranjivost zahtijeva prioritetno uklanjanje. Sigurnosni timovi bi trebali:
- Skenirajte mreže sa instance bez zakrpa koristeći skripte za provjeru verzije.
- Nadgledajte IOC-ove kao što je neočekivano pojavljivanje cmd.exe ili veze sa sumnjivim IP adresama.
- Pregledajte integracije trećih strana (npr. SAP HANA, Oracle DB) koje se oslanjaju na Commvault API-je.
Neuspjeh zakrpe rizikuje katastrofalna kršenja, slično ransomware kampanji iz 2023. koja iskorištava sličnu grešku u Apache ActiveMQ (CVE-2023-46604).
Kako sajber kriminalci sve više ciljaju na sisteme rezervnih kopija, osiguranje Commvault okruženja postaje najvažnije za osiguravanje otpornosti organizacije.
Izvor: CyberSecurityNews