CISA提醒注意已遭利用的 Commvault 0day漏洞

该漏洞的编号是CVE-2025-3928（CVSS 评分8.7），可导致远程攻击者创建和执行 webshell，完全攻陷易受攻击的实例。Commvault 在今年2月末修复了该漏洞，并提醒称微软提到可疑的一个国家黑客威胁行动者已经利用该漏洞黑入 Azure 环境。4月末，CISA将该漏洞纳入必修清单。

5月早些时候，微软更新安全公告提醒称，这些威胁行动者们“可能已经访问了某些 Commvault 客户用于认证其 M365 环境的应用凭据子集。”为了帮助客户捕获潜在攻陷情况，Commvault 已提供与所观察到的攻击活动相关的妥协指标 (IoCs)。该公司还更改了凭据并增强了监控规则。

Commvault 公司披露称，该恶意活动仅影响与微软共有的少量客户，但并不涉及Commvault 所存储的客户备份的越权访问权限。

CISA提到，攻击者可能已利用CVE-2025-3928访问了托管在 Azure 中的 M365 备份 SaaS 解决方案的客户端机密，导致“Commvault 客户的 M365 环境”遭越权访问，而“Commvault”在该环境中“存储了应用机密”。CISA 提到，“CISA 认为该威胁活动可能是更大攻击的一部分，该攻击的目标是各种具有默认配置和提升的权限的 SaaS 企业云应用。”

CISA 建议组织机构监控 Entra 审计日志，将非常规登录视作可疑行为，捕获内部威胁，执行有条件的访问策略，更改 Commvault Metallic 应用机密，更改应用凭据，查看管理员权限并执行强健的 M365安全机制。

对于本地部署而言，组织机构应当限制对 Commvault 管理界面的访问权限、检测并拦截路径遍历尝试、拦截可疑的文件上传、应用必要的补丁，并监控来自异常目录的活动。