ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bu hafta bir danışmanlıkta uyaran Microsoft Azure’da barındırılan CommVault uygulamalarını hedefleyen ulus-devlet tehdit aktörleri, Hizmet Olarak Yazılım (SaaS) uygulamalarını hedefleyen daha geniş bir kampanyanın bir parçası olabilir.
22 Mayıs CISA danışmanlığı, bu ayın başlarında, ulus-devlet tehdit aktörlerinin Microsoft Azure Cloud ortamlarında barındırılan CommVault uygulamalarını hedeflemek için CVE-2025-3928’den yararlandıkları bir CommVault uyarısı üzerine inşa ediyor.
CISA’nın yeni danışmanlığı, ajansın Commvault M365 tehdidinin “çeşitli SaaS şirketlerinin bulut uygulamalarını varsayılan yapılandırmalar ve yüksek izinlerle hedefleyen daha büyük bir kampanyanın parçası olabileceğine” inandığını söyledi.
CISA, hedeflenebilecek diğer SaaS uygulamalarında hiçbir ayrıntı sunmadı, ancak CISA ve Commvault, bazıları diğer SaaS uygulamaları için geçerli olabilecek CommVault ve M365 ortamlarını korumak için rehberlik sundu.
Commvault M365 Tehdit Kampanyası Ayrıntılı
CISA’ya göre, tehdit aktörleri Azure’da barındırılan CommVault Metallic Microsoft 365 yedek SaaS çözümü için müşteri sırlarına erişmiş olabilir. Danışmanlık, “Bu, tehdit aktörlerine CommVault tarafından depolanan uygulama sırları olan Commvault müşterilerinin M365 ortamlarına yetkisiz erişim sağladı” dedi.
Commvault’un 4 Mayıs tarihli olayı güncellemesi, ulus-devlet tehdit oyuncusu “bazı Commvault müşterilerinin M365 ortamlarını doğrulamak için kullandıkları uygulama kimlik bilgilerinin bir alt kümesine erişebileceğini” söyledi. CommVault, kimlik bilgilerini döndüren ve müşteri önerileri yayınlama da dahil olmak üzere çeşitli iyileştirici eylemlerle yanıt verdi.
CommVault ayrıca, ek tek kiracılı uygulama kayıtlarıyla yapılandırılmış M365, Dynamics 365 ve Entraid Yedekleri için rehberlik sağladı.
Commvault, müşterilerin engellemesi için kötü niyetli etkinlik ile ilişkili bilinen IP adreslerini listeledi. Bu IP adresleri şunları içerir:
- 69.148.100
- 92.80.210
- 153.42.129
- 6.189.53
- 223.17.243
- 242.42.20
Commvault ve M365’i korumak için rehberlik
CISA, kuruluşların yamalar ve güncellemeler uygulamasını ve ayrıntılı hafifletme rehberliği ve en iyi uygulamaları izlemelerini önerdi:
- Commvault uygulamaları ve hizmet müdürleri tarafından başlatılan hizmet müdürlerinde yetkisiz değişiklikler veya yeni kimlik bilgileri için entra denetim günlüklerini izleyin ve şüpheli olarak düzenli giriş programlarından sapmaları işleyin
- Microsoft Entra Denetimi, Entra Oturum Açma ve Birleşik Denetim Günlüklerini Gözden Geçirin ve İç Tehdit Avı
- Tek kiracı uygulamaları için, bir uygulama hizmeti müdürünün CommVault’un izin verilen IP adresleri aralığında listelenen onaylanmış bir IP adresiyle kimlik doğrulamasını sınırlayan koşullu bir erişim ilkesi uygulayın (şartlı erişim politikaları bir Microsoft Entra İş Yükü Kimlik Lisansı gerektirir)
- En az 30 günde bir kimlik bilgilerini düzenli olarak döndürmek için bir politika oluşturabilen müşteriler
- Entra’daki başvuru kayıtları ve hizmet müdürleri listesini, gerektiğinden daha yüksek ayrıcalıklar için idari rızayı inceleyin
- CISA’nın Güvenli Bulut İş Uygulamaları (SCUBA) projesinde ana hatlarıyla belirtilen M365 güvenlik önerilerini uygulayın
- Mümkün olduğunda, Commvault Yönetimi arayüzlerine erişimi güvenilir ağlara ve idari sistemlere sınırlayın
- Bir Web Uygulaması Güvenlik Duvarı’nı dağıtarak ve Commvault Uygulamalarına Harici Erişimi kaldırarak yol izi denemelerini ve şüpheli dosya yüklemelerini algılayın ve engelleyin.
- Beklenmedik dizinlerden, özellikle Web tarafından erişilebilir yollardan aktiviteyi izleyin.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.