国网络安全和基础设施安全局(CISA)周四透露,Commvault正在监控针对其Microsoft Azure云环境中托管的应用程序的网络威胁活动。

“威胁行为者可能已经访问了Commvault(金属)Microsoft 365(M365)备份软件即服务(SaaS)解决方案的客户机密,该解决方案托管在Azure中,”该机构表示。

“这为威胁行为者提供了对Commvault客户M365环境的未经授权的访问,这些环境具有Commvault存储的应用程序秘密。

CISA进一步指出,该活动可能是针对各种软件即服务(SaaS)提供商的云基础设施的更广泛活动的一部分,具有默认配置和更高的权限。

几周前,Commvault透露,微软在2025年2月通知该公司,其Azure环境中的民族国家威胁行为者未经授权的活动。

该事件导致发现威胁行为者一直在利用零日漏洞(CVE-2025-3928),这是Commvault Web服务器中未指明的漏洞,使远程身份验证的攻击者能够创建和执行Webshell。

“基于行业专家,这个威胁行为者使用复杂的技术来尝试访问客户M365环境,”Commvault在一份公告中说。“这个威胁行为者可能已经访问了某些Commvault客户用来验证其M365环境的应用程序凭据的子集。

Commvault表示已采取多项补救措施,包括为M365轮换应用程序凭据,但强调没有未经授权访问客户备份数据。

为了减轻此类威胁,CISA建议用户和管理员遵循以下准则:

监控 Entra 审计日志,以获取由 Commvault 应用程序/服务委托人发起的未经授权修改或添加对服务委托人的凭据审查 Microsoft 日志(Entra 审核、Entra 登录、统一审计日志)并进行内部威胁搜索对于单个租户应用程序,请实施有条件访问策略,该策略将应用程序服务主体的身份验证限制为 Commvault 允许列出的 IP 地址范围内的已批准 IP 地址。在行政同意的情况下,查看Entra的申请注册和服务负责人名单,以获得比业务需求更高的特权限制对可信网络和管理系统的 Commvault 管理接口的访问通过部署 Web 应用程序防火墙和删除对 Commvault 应用程序的外部访问来检测和阻止路径遍历尝试和可疑文件上传

CISA在2025年4月下旬将添加到其已知的易用漏洞目录CVE-2025-3928中,并表示将继续与合作伙伴组织合作调查恶意活动。