La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) anunció el jueves que CommVault está monitoreando la actividad de amenazas cibernéticas dirigidas a aplicaciones alojadas en entornos en la nube de Microsoft Azure.
«El actor de amenaza puede haber accedido al secreto del cliente para la solución de copia de seguridad (SAAS) de Microsoft 365 (M365) de Commvault (metálico).
«Esto ha llevado a una amenaza para el acceso no autorizado al entorno M365 de los clientes de Commvault, que tiene los secretos de las aplicaciones que almacenan».
CISA señaló además que esta actividad podría ser parte de una campaña más amplia dirigida a infraestructuras en la nube de varios proveedores de software (SaaS) con configuraciones predeterminadas y altos privilegios.
La consulta se produce solo semanas después de que Commvault reveló que Microsoft notificó a la compañía en febrero de 2025 de actividades no autorizadas causadas por la amenaza de estado-nación activa dentro del entorno de Azure.
El incidente descubrió que los actores de amenaza estaban explotando la vulnerabilidad de cero días (CVE-2025-3928).
«Según los expertos de la industria, este actor de amenaza utilizará técnicas sofisticadas para tratar de acceder al entorno del cliente M365», dijo Commvault en el anuncio. «Este actor de amenaza puede haber accedido a un subconjunto de las credenciales de la aplicación que un cliente de CommVault en particular usa para autenticar el entorno M365».
Commvault dijo que tomó varias acciones correctivas, incluidas las credenciales de aplicaciones rotativas en el M365, pero enfatizó que no había acceso no autorizado a los datos de copia de seguridad del cliente.
Para mitigar tales amenazas, CISA recomienda que los usuarios y administradores sigan las pautas a continuación:
Monitoree los registros de auditoría Entra para cambios no autorizados o derechos adicionales a los directores de servicio iniciados por CommVault Applications/Service Directs Microsoft Logs (Auditoría de Entra, inicio de sesión de Entra, registro de auditoría uniforme) y aplique la caza de amenazas internas para aplicaciones de inquilinos únicos, restringir las políticas de acceso condicional. La lista de principales de registro de aplicaciones y servicio de Entra permite a las empresas confiar en el acceso a la interfaz de gestión de CommVault con el consentimiento de gestión para privilegios más altos que las empresas.
CISA, que agregó CVE-2025-3928 a su catálogo de vulnerabilidad explotado conocido a fines de abril de 2025, dijo que continúa investigando actividades maliciosas en colaboración con organizaciones asociadas.
Source link
