ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü Commvault’un Microsoft Azure Cloud ortamlarında barındırılan uygulamaları hedefleyen siber tehdit faaliyetlerini izlediğini açıkladı.
Ajans, “Tehdit aktörleri, Azure’da barındırılan CommVault’un (Metalik) Microsoft 365 (M365) Yedek Hizmet Olarak Yazılım (SaaS) çözümü için müşteri sırlarına erişmiş olabilir.” Dedi.
“Bu, tehdit aktörlerine CommVault tarafından depolanan uygulama sırları olan CommVault müşterilerinin M365 ortamlarına yetkisiz erişim sağladı.”
CISA ayrıca, etkinliğin varsayılan yapılandırmalar ve yüksek izinlerle hizmet olarak çeşitli yazılım (SAAS) sağlayıcılarının bulut altyapılarını hedefleyen daha geniş bir kampanyanın parçası olabileceğini belirtti.
Danışma, Commvault’un Microsoft’un Şubat 2025’te Azure ortamında bir ulus devlet tehdit oyuncusu tarafından yetkisiz faaliyetleri bildirdiğini açıklamasından haftalar sonra geliyor.
Olay, tehdit aktörlerinin, CommVault web sunucusunda, uzak, kimlik doğrulamalı bir saldırganın web kabukları oluşturmasını ve yürütmesini sağlayan belirtilmemiş bir kusur olan sıfır gün güvenlik açığından (CVE-2025-3928) yararlandığını keşfetmeye yol açtı.
Commvault bir duyuruda, “Endüstri uzmanlarına dayanarak, bu tehdit oyuncusu Müşteri M365 ortamlarına erişmek için sofistike teknikler kullanıyor.” Dedi. “Bu tehdit oyuncusu, bazı Commvault müşterilerinin M365 ortamlarını doğrulamak için kullandıkları bir uygulama kimlik bilgileri alt kümesine erişmiş olabilir.”
CommVault, M365 için uygulama kimlik bilgilerini döndürme de dahil olmak üzere çeşitli iyileştirici işlemler yaptığını, ancak müşteri yedekleme verilerine yetkisiz bir erişim olmadığını vurguladı.
Bu tür tehditleri azaltmak için CISA, kullanıcıların ve yöneticilerin aşağıdaki yönergeleri izlemelerini tavsiye ediyor –
- CommVault uygulamaları/hizmet müdürleri tarafından başlatılan hizmet müdürlerine yetkisiz değişiklikler veya kimlik bilgileri eklemeleri için entra denetim günlüklerini izleyin
- Microsoft Günlüklerini (Entra Denetimi, Entra Oturum Açma, Birleşik Denetim Günlükleri) inceleyin ve dahili tehdit avı yapın
- Tek kiracı uygulamaları için, bir uygulama hizmeti müdürünün kimlik doğrulamasını CommVault’un izin verilen IP adresleri aralığında listelenen onaylanmış bir IP adresiyle sınırlayan bir koşullu erişim politikası uygulayın.
- Entra’daki başvuru kayıtları ve hizmet müdürlerinin listesini, işletmenin ihtiyaçtan daha yüksek ayrıcalıklar için idari rızası ile gözden geçirin
- CommVault Yönetim Arayüzlerine erişimi güvenilir ağlara ve idari sistemlere kısıtlayın
- Bir Web Uygulaması Güvenlik Duvarı’nı dağıtarak ve Commvault Uygulamalarına Harici Erişimi kaldırarak yol izi denemelerini ve şüpheli dosya yüklemelerini algılayın ve engelleyin.
Nisan 2025’in sonlarında bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-3928 ekleyen CISA, ortak kuruluşlarla işbirliği içinde kötü niyetli etkinliği araştırmaya devam ettiğini söyledi.