APT利用SaaS零日漏洞(CVE-2025-3928)攻陷Azure云！Commvault事件剖析M365数据安全与防御体系

安全警报再次升级至高危等级！美国网络安全和基础设施安全局 (CISA) 近日拉响警报，直指潜伏在微软 Azure 云环境中的软件即服务 (SaaS) 应用正面临高级持续性威胁 (APT) 的精准打击。此次风暴的中心是知名数据管理与备份方案提供商 Commvault 及其 Microsoft 365 (M365) 云备份服务 (Metallic)，其关键安全漏洞已被证实遭到在野利用。CISA 强调，这绝非个案，而是揭示了一场可能席卷更广泛 SaaS 生态的系统性风险，攻击者尤其擅长利用云平台常见的默认配置缺陷及实施权限提升。

核心事件：Commvault Azure 环境遭攻破，敏感客户端凭据失窃

CISA 披露，威胁行为者——Commvault 暗示可能为具备国家背景的 APT 组织——已成功窃取 Commvault (Metallic) M365 备份解决方案的客户端凭据 (Client Secrets)。这些凭据扮演着应用程序“数字密钥”的角色，由 Commvault 生成并托管于其 Azure 云基础设施内。其核心功能是通过 OAuth 2.0 客户端凭据授予流程 (Client Credentials Grant Flow)，使得 Commvault 的服务主体 (Service Principal) 能以程序化、自动化的方式静默访问客户的 M365 租户，执行关键的备份与恢复操作。一旦这些高度敏感的凭据落入攻击者之手，他们便能轻易冒充合法的 Commvault 服务，如入无人之境般访问授权客户的 M365 数据宝库。

技术细节：CVE-2025-3928 零日漏洞与多阶段攻击链深度还原

本次事件的关键引爆点，是被 CISA 确认已遭在野利用的零日漏洞 CVE-2025-3928。这是一个潜藏于 Commvault Web 服务器组件中的未公开安全缺陷，它使得远程、已认证的攻击者能够在该服务器上创建并执行 Web Shell。这里的“已认证”绝非高不可攀的门槛；攻击者可能通过撞库、钓鱼邮件、利用其他关联系统漏洞获取低权限凭证，甚至该漏洞本身就存在某种形式的认证绕过机制。

基于当前信息，我们对这条复杂的攻击链进行深度还原：

1. 初始访问与据点建立 (Web Shell)
   
   攻击者利用 CVE-2025-3928，在 Commvault面向公网的 Web 服务器上成功部署 Web Shell。这枚 Web Shell 如同在Commvault 系统内部植入的“特洛伊木马”，为攻击者提供了在服务器上执行任意命令的持久化滩头阵地。
2. 权限提升与凭据搜寻
• 直接读取
  
  若 Commvault 的应用将 M365 客户端凭据以明文、弱加密形式，或通过易于逆向的机制存储在该 Web 服务器的文件系统、配置文件、环境变量或内存中，Web Shell 的执行权限便足以直接窃取这些敏感信息。
• 利用云原生身份权限
  
  这是云环境中更为隐蔽且常见的权限提升路径。如果该 Web 服务器的计算实例（如 Azure 虚拟机）被错误地配置了过度宽松的托管身份 (Managed Identity) 或服务账户权限（例如，该身份被授予访问存储所有客户凭据的 Azure Key Vault 的读取权限），攻击者即可通过 Web Shell 劫持此身份，进而合法地从 Key Vault 中“取出”凭据。
• 利用其他默认配置缺陷
  
  例如，Azure 存储账户若配置为允许匿名访问或使用了易于猜测的访问密钥，且其中存储了相关配置信息，也可能成为突破口。某些 PaaS 服务若保留了默认的、过于宽松的网络接入点或管理凭据，同样会被利用。
3. 横向移动与深度渗透 (APT 典型行为)
   
   得手初步权限和敏感信息后，APT 攻击者通常不会止步于此。他们会利用既有访问权限，对 Commvault 的内部 Azure 网络环境进行细致侦察和横向移动，寻找如数据库服务器、内部代码仓库、更多特权账户等高价值目标，并部署更多后门以实现长期潜伏。
4. 滥用客户端凭据，直指客户 M365 数据
   
   攻击者利用其控制的基础设施，凭借窃取的 M365 客户端凭据，通过 Microsoft Graph API 或其他 M365 服务端点，以“合法”的 Commvault 应用身份，对目标客户的 M365 环境进行大规模数据窃取、敏感邮件监控、文件篡改甚至植入勒索软件等恶意活动。

Commvault 已声明采取了紧急补救措施，包括为所有受影响客户轮换 M365 应用凭据，并强调客户备份数据本身未在本次事件中被直接访问。然而，对 M365 生产环境的直接访问权限一旦失守，其潜在业务中断和数据泄露风险已然极其严重。

CISA 专业建议的实践指南：构建多层次纵深防御

CISA 的建议为企业构建坚不可摧的云安全防线提供了清晰的路线图，其核心在于持续监控、最小权限、纵深防御：

基础层面：强化身份与访问管理 (IAM) 及日志审计

1. 精细化 Entra ID 日志监控与告警
• 核心监控对象
  
  在 AuditLogs 中，严密监控 Add service principal credentials 和 Update service principal credentials 操作，特别是当 initiatedBy (执行者) 显示为 Commvault (或任何第三方集成) 的应用ID或服务主体，但操作特征（如时间、源IP、频率）异于常规基线时。使用 KQL 查询进行定制化告警，例如：AuditLogs | where OperationName in ("Add service principal credentials", "Update service principal credentials") and TargetResources has "Your_Commvault_App_ID_or_Name" | project TimeGenerated, OperationName, InitiatedBy, TargetResources, Result。
• 同步关注 SignInLogs 中服务主体的登录行为，筛查异常登录地点、登录失败暴增、MFA 异常等情况。
2. 贯彻“最小权限原则”审查应用与服务主体
   
   定期（至少每季度）对 Entra ID 中的应用注册 (App Registrations) 和服务主体 (Service Principals) 进行权限审计。确保其申请和被授予的 Microsoft Graph API 权限（如 Mail.ReadWrite.All, Sites.FullControl.All, User.Read.All 等）与其实际业务需求严格匹配，杜绝任何不必要的“完全控制”或“全局读取”权限。例如，M365备份服务是否真的需要对所有邮箱的“写入”权限，还是可以通过更细粒度的权限（如特定应用访问策略 Application Access Policies）限制其操作范围？
3. 加固 Commvault (及类似第三方) 管理接口安全
   
   通过 Azure 网络安全组 (NSG)、Azure Firewall 或第三方 NGFW 解决方案，将管理接口的访问权限严格限制在经过授权的堡垒机IP或内部安全管理网络区段，严禁任何不必要的公网暴露。

进阶层面：主动威胁狩猎与高级防护策略

1. 实施主动威胁狩猎 (Threat Hunting)
   
   整合 Entra ID 日志、Azure 资源日志 (如 VM 日志、存储日志、网络流日志)、Microsoft Defender for Cloud 告警、统一审计日志 (UAL) 等多源数据，基于ATT&CK框架和已知 TTPs (战术、技术和过程) 进行假设驱动的威胁狩猎。例如，搜寻与 Commvault 服务器异常的出站C2连接、计算实例上可疑进程执行、非标准端口通信等蛛丝马迹。
2. 部署并优化 Web 应用防火墙 (WAF)
   
   针对 Commvault Web 服务器及其他面向公网的 Web 应用，部署 WAF 并启用 OWASP Top 10 防护规则集。特别强化针对路径遍历 (../../)、SQL注入、跨站脚本 (XSS) 以及已知 Web Shell 特征库的检测与拦截能力。严格配置WAF的文件上传安全策略，限制可执行文件类型，并对上传内容进行扫描。
3. 应用条件访问策略 (Conditional Access Policy) 的高级用法
• 基于 IP 的服务主体认证限制
  
  将 Commvault 服务主体的身份验证请求严格限制在其官方提供的、且经过贵公司验证的出口 IP 地址列表。这需要 Commvault 及时、透明地提供此列表，客户方也需建立相应的更新和审计流程。
• 集成 Identity Protection 风险信号
  
  将 Entra ID Identity Protection 检测到的用户和服务主体风险（如匿名IP登录、泄露凭据使用、恶意软件感染等）作为条件访问策略的输入条件，实现基于风险的动态访问控制（如强制MFA、限制会话、甚至阻止访问）。

SaaS 供应链安全：不可忽视的“木桶短板”

Commvault 事件是 SaaS 供应链安全风险的又一例证：当 SaaS 提供商自身的应用或基础设施存在安全漏洞（如本例中的 CVE-2025-3928），该风险会直接传递并放大至其所有客户的数据安全层面。在云计算的“责任共担模型”下，尽管 SaaS 提供商负责其应用平台和底层基础设施的安全，但客户对其数据、身份授权、访问控制配置以及对 SaaS 服务安全状况的持续监控与评估，负有不可推卸的责任。选择和使用 SaaS 服务时，务必将其安全认证 (如SOC 2, ISO 27001)、漏洞披露政策、安全开发生命周期 (SDL) 实践以及应急响应能力纳入核心考量。

洞悉 APT 组织的“狩猎”模式

据称此次事件背后可能存在“民族国家背景”的 APT 组织，其攻击手法往往具备以下特征：

• 隐秘持久 (Low and Slow)
  
  极力避免触发常规告警，进行长时间、低频度的侦察和渗透活动。
• 军火库优势 (Zero-days & N-days)
  
  投入大量资源挖掘和利用零日漏洞，或快速武器化已公开但尚未广泛修复的N日漏洞。
• 定制化工具链 (Custom Malware & Tooling)
  
  使用自行研发或高度定制的恶意软件和攻击工具，以规避基于签名的检测。
• “就地取材”与隐蔽信道 (Living off the Land & Covert C2)
  
  滥用目标环境中已有的合法工具和系统进程执行恶意操作，利用加密隧道或常见协议（如DNS、HTTPS）伪装C2通信。

CISA 已将 CVE-2025-3928 火速列入其“已知被利用漏洞目录”(KEV Catalog)，这充分证明了该漏洞的现实威胁等级和利用的广泛性。目前，CISA 正协同多家合作伙伴对此系列恶意活动展开联合调查。

结语：告别被动响应，拥抱主动、智能、持续的云安全运营

Commvault 事件对所有依赖 SaaS 服务的企业和机构而言，是一记沉重的警钟，也是一次宝贵的学习机会。在全面拥抱云计算和 SaaS 模式所带来的敏捷与效率的同时，我们必须对潜藏的安全风险保持清醒的认知和高度的警惕。企业亟需转变安全思维，从传统的、事件驱动的被动响应模式，进化到以威胁情报为先导、风险评估为基础的主动防御体系。这意味着持续投入于安全监控能力的深化、自动化配置审计的实现、常态化漏洞管理流程的建立，以及实战化应急响应预案的演练。唯有如此，方能在日益复杂的云原生攻击面前，构筑起真正有韧性的数字安全长城。

原文始发于微信公众号（技术修道场）：APT利用SaaS零日漏洞(CVE-2025-3928)攻陷Azure云！Commvault事件剖析M365数据安全与防御体系