美國網(wǎng)絡安全和基礎設施安全局(CISA)近日發(fā)出警告，稱威脅行為者正在濫用Commvault的SaaS云應用Metallic，以獲取其客戶的關(guān)鍵應用密鑰。

漏洞利用導致M365環(huán)境遭入侵

根據(jù)CISA發(fā)布的公告，威脅行為者可能已通過Commvault的Metallic Microsoft 365(M365)備份解決方案獲取了客戶密鑰。該解決方案托管在Microsoft Azure上，攻擊者借此獲得了對客戶M365環(huán)境的未授權(quán)訪問權(quán)限，這些環(huán)境中存儲了由Commvault保管的應用密鑰。

攻擊者利用一個零日漏洞實現(xiàn)了對Commvault M365密鑰的未授權(quán)訪問。微軟曾在2月份警告Commvault，稱其Web Server存在一個未公開的高危漏洞(編號為CVE-2025-3928)，且某國家支持的黑客組織正在積極利用該漏洞獲取Azure環(huán)境的訪問權(quán)限。

Black Duck基礎設施安全實踐總監(jiān)Thomas Richards表示，SaaS工作流本身存在脆弱性。"雖然SaaS解決方案減輕了企業(yè)在托管和基礎設施方面的管理負擔，但另一方面企業(yè)也無法對這些環(huán)境進行安全控制。當Commvault遭到入侵時，受害者甚至沒有意識到發(fā)生了數(shù)據(jù)泄露。"

CVE-2025-3928對SaaS安全的影響

CISA在公告中指出，懷疑CVE-2025-3928漏洞的利用是針對SaaS應用的更廣泛攻擊活動的一部分，這些應用通常采用默認設置并擁有高級權(quán)限。

BeyondTrust現(xiàn)場首席技術(shù)官James Maude評論道："這凸顯了允許第三方特權(quán)訪問環(huán)境所涉及的風險——他們的漏洞就是你的漏洞。"

"雖然許多企業(yè)對承包商和第三方使用的人工賬戶訪問權(quán)限有嚴格的控制措施，但對于支持機器間交互的非人類身份和密鑰，情況往往大不相同，"Maude補充道。

根據(jù)Commvault的調(diào)查，國家支持的黑客組織通過零日漏洞CVE-2025-3928獲取了部分應用憑證，這些憑證被某些Commvault客戶用于驗證其M365環(huán)境。

CISA呼吁立即修補漏洞

這個影響Commvault Web Server的高危漏洞(CVSS評分為8.7分)使攻擊者能夠在受感染環(huán)境中創(chuàng)建和執(zhí)行Webshell。2025年4月28日，CISA將該漏洞列入已知被利用漏洞目錄(KEV)，要求聯(lián)邦民事行政部門(FCEB)機構(gòu)在2025年5月19日前修補系統(tǒng)，以消除各民事機構(gòu)中的危險漏洞。

該公司在2月份收到微軟警告后迅速修復了該漏洞。修復程序已在Commvault 11.36.46、11.32.89、11.28.141和11.20.217版本中推出。

CISA建議企業(yè)立即應用補丁并采取額外緩解措施，包括監(jiān)控和審查Microsoft Entra審計日志、Entra登錄和統(tǒng)一審計日志，實施條件訪問策略以限制單租戶應用內(nèi)的身份驗證，以及輪換Commvault Metallic應用中的應用密鑰和憑證。

DoControl首席執(zhí)行官Omri Weinberg將此事件與更廣泛的趨勢聯(lián)系起來。"攻擊者正從終端和基于網(wǎng)絡的攻擊轉(zhuǎn)向利用權(quán)限過大的SaaS環(huán)境和配置錯誤的云應用，"Weinberg表示。"安全團隊需要像對待傳統(tǒng)基礎設施一樣嚴格對待SaaS——從強訪問治理開始，持續(xù)監(jiān)控第三方應用集成，并通過最小權(quán)限訪問限制爆炸半徑。"

Commvault在5月的一份聲明中表示，內(nèi)部調(diào)查未發(fā)現(xiàn)任何未經(jīng)授權(quán)訪問客戶備份數(shù)據(jù)的情況，并預計該事件不會對Commvault的業(yè)務運營或其提供產(chǎn)品和服務的能力產(chǎn)生實質(zhì)性影響。