22 Mayıs 2025’te, önde gelen bir kurumsal veri yedekleme sağlayıcısı olan Commvault, Microsoft Azure Cloud ortamında barındırılan Metalik Hizmet Olarak Yazılım (SAAS) uygulamasını hedefleyen aktif siber tehdit faaliyeti hakkında acil bir danışma yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), tehdit aktörlerinin Commvault’un web sunucusunda sıfır gün güvenlik açığından (CVE-2025-3928) kullandığını ve metalik Microsoft 365 (M365) yedek çözümü için müşteri sırlarına yetkisiz erişimi sağladığını doğruladı.
Müşteri M365 ortamlarına erişimi doğrulamak için kullanılan bu uygulama sırları, müşterileri adına CommVault tarafından saklanmıştır.
.png
)
Uzlaşma, potansiyel olarak saldırganların müşterilerin M365 ortamlarına erişmesine izin verdi ve hassas kurumsal veriler için önemli bir risk oluşturdu.
CISA, bu olayın muhtemelen varsayılan yapılandırmalar ve yüksek izinlerle bulut uygulamalarını hedefleyen daha geniş bir kampanyanın bir parçası olduğunu belirtti – SaaS sağlayıcılarına yapılan saldırılarda giderek daha fazla gözlenen bir model.
Commvault, bugüne kadar müşteri yedekleme verilerine yetkisiz erişimin veya iş operasyonları üzerinde önemli etkiye sahip olduğuna dair bir kanıt olmadığını vurguladı.
Şirket, etkilenen kimlik bilgilerini döndürerek ve Azure barındıran hizmetlerinde güvenlik kontrollerini geliştirerek yanıt verdi.
Teknik Ayrıntılar: Sömürülen güvenlik açıkları ve saldırı vektörleri
Birincil güvenlik açığı sömürülen CVE-2025-3928, uzaktan, kimlik doğrulamalı saldırganların Commvault Web sunucusunda web mermileri oluşturmasına ve yürütmesine izin verdi.
Bu, daha ileri yan hareket ve potansiyel kimlik hırsızlığı için bir dayanak sağladı. Saldırı, Microsoft’un Şubat 2025’te Commvault’u yetkisiz faaliyetlerin bildirilmesinden sonra tespit edildi ve bu da bir ulus devlet tehdit oyuncusuna atfedilen bir soruşturma.
Paralel olarak, Commvault Komuta Merkezi’nde başka bir kritik güvenlik açığı olan CVE-2025-34028 tanımlanmıştır.
CVSS skoru 10/10 ile derecelendirilen bu kusur, kötü amaçlı zip dosya yüklemeleri yoluyla kimlik doğrulanmamış uzaktan kod yürütme (RCE) sağlayan bir yol geçiş güvenlik açığıdır.
Saldırganlar, daha sonra sunucu tarafından yürütülen ve potansiyel olarak komut merkezi ortamının tam bir uzlaşmasına yol açan bir Javaserver sayfaları (JSP) dosyası içeren bir zip arşivi yükleyerek bunu kullanabilir.
Bu güvenlik açıkları için teknik hafifletmeler şunları içerir:
- Microsoft Entra Denetim Günlüklerini İzleme Yetkisiz değişiklikler veya CommVault uygulamalarıyla ilişkili Hizmet Prensiplerine Kimlik Bilgileri Eklemeleri.
- Birleşik Denetim Günlüklerinin gözden geçirilmesi ve olay müdahale politikalarıyla uyumlu iç tehdit avının yürütülmesi.
- Tek kiracı uygulamalar için şartlı erişim politikalarının uygulanması, Commvault’un izin verilen aralığında onaylanmış IP adresleriyle kimlik doğrulamasını kısıtlama (Microsoft Entra İş Yükü Kimliği Premium Lisansı gerektirir).
- Sırları üzerinde kontrol sahibi olan müşteriler için en az 30 günde bir önerilen aralıklarla düzenli olarak uygulama sırlarını ve kimlik bilgilerini döndürür.
Azaltma adımları ve devam eden yanıt
CISA, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-3928 ve CVE-2025-34028 ekledi, federal ajanslar tarafından derhal yama yapmayı zorunlu kıldı ve tüm kuruluşlara aynı şeyi yapmasını şiddetle tavsiye etti.
Commvault, etkilenen sürümler için yamalar yayınladı (11.38.20 ve 11.38.25), ancak kuruluşlar tüm güncellemeler sorunu tam olarak düzeltmediği için doğru alt işlemlerin yüklenmesini sağlamalıdır.
Ek öneriler şunları içerir:
- Commvault yönetimi arayüzlerine erişimi güvenilir ağlara ve idari sistemlere sınırlamak.
- Yolu geçiş girişimlerini ve şüpheli dosya yüklemelerini algılamak ve engellemek için bir Web Uygulaması Güvenlik Duvarı (WAF) dağıtma.
- Aşırı ayrıcalıklar için Microsoft Entra’daki uygulama kayıtlarının ve hizmet müdürlerinin gözden geçirilmesi.
- CISA’nın Güvenli Bulut İş Uygulamalarında (SCUBA) belirtildiği gibi genel M365 güvenlik en iyi uygulamalarının uygulanması proje.
Kuruluşlar, olayları veya anormal faaliyetleri CISA’nın 7/24 operasyon merkezine bildirmeleri istenir.
Durum dinamik olmaya devam ediyor, CISA ve Commvault, daha fazla kötü niyetli etkinlik için izlemek ve yeni zeka ortaya çıktıkça hafifletme rehberliğini güncellemek için endüstri ortaklarıyla işbirliği yapıyor.
Anahtar Teknik Terimler:
- Müşteri Sırları: Bulut hizmetlerine kimlik doğrulamak için uygulamalar tarafından kullanılan kimlik bilgileri.
- Hizmet müdürü: Azure’daki belirli kaynaklara erişmek için uygulamalar veya hizmetler tarafından kullanılan bir kimlik.
- Uzak Kod Yürütme (RCE): Bir hedef sistemde keyfi kodun yürütülmesine izin veren bir saldırı.
- Yolun geçişi: Saldırganların dizinlere erişmesine ve amaçlanan dizinin dışında dosyaları yürütmesine izin veren bir güvenlik açığı.
- Ağ kabuğu: Bir web sunucusunun uzaktan kumandasını sağlayan bir komut dosyası.
- Koşullu Erişim Politikası: IP adresi gibi tanımlanmış koşullara dayalı olarak uygulamalara erişimi kısıtlayan güvenlik kontrolleri.
Koşullu Erişim Politikası için Örnek Kod Snippet (PowerShell):
powershellNew-AzureADMSConditionalAccessPolicy -DisplayName "Restrict Commvault App" `
-Conditions @{ Applications = @{ IncludeApplications = @("") } } `
-GrantControls @{ BuiltInControls = @("mfa") } `
-Locations @{ IncludeLocations = @("") }
Bu politika, CommVault uygulaması için kimlik doğrulamasını güvenilir bir IP aralığına kısıtlar ve tek kiracı ortamlar için güvenliği artırır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!