Commvault, hackerların Azure Breach’inde sıfır gün olarak CVE-2025-3928’den sömürüldüğünü doğrular

   Mayıs 1, 2025  Posted in TheHackerNews


01 Mayıs 2025Ravie LakshmananSıfır gün / tehdit zekası

Azure ihlalinde sıfır gün

Kurumsal veri yedekleme platformu Commvault, bilinmeyen bir ulus devlet tehdit oyuncusu, CVE-2025-3928’den yararlanarak Microsoft Azure ortamını ihlal ettiğini, ancak yetkisiz veri erişimine dair bir kanıt olmadığını vurguladı.

Şirket bir güncellemede, “Bu etkinlik, Microsoft ile ortak olan az sayıda müşteriyi etkiledi ve bu müşterilerle birlikte yardım sağlamak için çalışıyoruz.” Dedi.

“Daha da önemlisi, CommVault depoları ve koruyan müşteri yedekleme verilerine yetkisiz bir erişim olmamıştır ve iş operasyonlarımız veya ürün ve hizmet sunma yeteneğimiz üzerinde önemli bir etki yoktur.”

7 Mart 2025’te yayınlanan bir danışmada Commvault, 20 Şubat’ta Microsoft tarafından Azure ortamında yetkisiz faaliyet hakkında bilgilendirildiğini ve tehdit oyuncusunun CVE-2025-3928’i sıfır gün olarak kullandığını söyledi. Ayrıca etkilenen kimlik bilgilerini ve gelişmiş güvenlik önlemlerini döndürdüğünü söyledi.

Açıklama, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Sivil Yürütme Şubesi (FCEB) ajanslarının Commvault Web sunucusu için 19 Mayıs 2025’e kadar gerekli yamaları uygulamasını gerektiren CVE-2025-3928’i ekleyerek CVE-2025-3928’i ekledi.

Siber güvenlik

Bu tür saldırıların sağladığı riski azaltmak için, müşterilerin tüm Microsoft 365, Dynamics 365 ve Azure AD tek kiracı uygulama kayıtlarına koşullu bir erişim politikası uygulamaları ve Azure Portal ve Commvault arasındaki istemci sırlarını her 90 günde bir döndürmeleri ve senkronize etmesi önerilir.

Şirket ayrıca kullanıcıları, izin verilen aralıkların dışındaki IP adreslerinden gelen erişim denemelerini algılamak için oturum açma etkinliğini izlemeye çağırıyor. Aşağıdaki IP adresleri kötü niyetli etkinlik ile ilişkilendirilmiştir –

  • 108.69.148.100
  • 128.92.80.210
  • 184.153.42.129
  • 108.6.189.53 ve
  • 159.242.42.20

CommVault, “Bu IP adresleri koşullu erişim politikalarınızda açıkça engellenmeli ve Azure oturum açma günlüklerinizde izlenmelidir.” Dedi. “Bu IP’lerden herhangi bir erişim denemesi tespit edilirse, lütfen olayı derhal daha fazla analiz ve eylem için CommVault desteğine bildirin.”

Bu makaleyi ilginç mi buldunuz? Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link