Küresel olarak işletmeler ve yönetilen hizmet sağlayıcılar, CommVault’un şirket içi yedekleme ve kurtarma yazılımında önceden onaylanmış önemli bir uzaktan kod yürütme (RCE) güvenlik açığının açıklanmasının ardından acil güvenlik endişeleriyle karşı karşıya.
CVE-2025-34028 olarak izlenen sorun, siber güvenlik dünyasını salladı, özellikle araştırmacılar tamamen çalışan bir kavram kanıtı (POC) istismarını yayınladıktan sonra.
Saldırganların aktif olarak hedefleri araştırmasıyla, kuruluşların hızlı bir şekilde hareket etmeleri tavsiye ediliyor.
.png
)
CommVault, yedekleme, kurtarma ve veri esnekliği için önde gelen bir kurumsal sınıf çözüm olarak kabul edilmektedir.
İşletmeler giderek daha fazla fidye yazılımı ve veri kaybına karşı savunmak için bu tür araçlara bağlı olduğundan, güvenlikleri her zamankinden daha önemlidir. Yakın zamanda keşfedilen kusur bu güvenden ödün veriyor.
Daha önce Veeam ve Nakivo gibi satıcılardan benzer ürünleri analiz eden WatchTowr Labs’tan araştırmacılar, CommVault’un Pencereleri şirket içi yazılımında CVE-2025-34028’i ortaya çıkardı (Innovation Sürümü 11.38.20).
Ayrıntılı analizleri, güvenlik açığı avını sinematik bir soygaya benzeterek, yedekleme sistemlerinin kendileri hedef haline geldiğinde ilgili yüksek bahisleri vurguladı – yedekler lekelenirse fidye yazılımlarına karşı “yedeklemeden geri yükleme”.
Sömürü Detayları (CVE-2025-34028): SSRF’den RCE’ye
Güvenlik açığı, dahili paket dağıtımları için tasarlanmış, önceden onaylanmış bir API uç noktasında, /commandcenter/deploywebpackage.do’da bulunur.
Üç parametreyi (CommCellName, ServicePack, sürüm) kabul etmeyi amaçlayan uç nokta, yanlışlıkla kimlik doğrulanmamış harici kullanıcıların yalnızca dahili istekleri başlatmasına izin vermez-aynı zamanda klasik bir sunucu tarafı istek (SSRF)-aynı zamanda dosya sistemi yollarını servis pack parametresindeki dizin geçişinden manipüle eder.
Saldırganlar kusurdan yararlanabilir:
- Commvault Sunucusunu getirin ve saldırgan kontrollü ana bilgisayarlardan keyfi veri yazın.
- Hassas dizinlerde dosyaları bırakmak için hazırlanmış yollar kullanın.
- Nihayetinde, sistemin bağlamı altında uzaktan kod yürütülmesini sağlayarak web kabukları veya diğer yürütülebilir kodlar içeren kötü amaçlı bir zip arşivi dağıtın.
Araştırmacılar, SSRF’den yararlanarak ve dizin dezenfektan eksikliğinden, keyfi Javaserver sayfaları (JSP) dosyalarının sunucuda yazılabileceğini ve yürütülebileceğini doğruladılar – tam bir uzlaşma.
Konsept Kanıtı Yayınlandı, Sömürü Devam Edildi
Tamamen silahlandırılmış bir POC, saldırganların bariyerini önemli ölçüde düşüren halka açıktır. Güvenlik ekipleri zaten vahşi doğada tarama ve sömürü girişimlerini gözlemlemişlerdir.
CVE-2025-34028’in kritikliği abartılamaz: Saldırgan bırakılmamışsa, saldırganlar yedekleme sunucularının kontrolünü ele geçirebilir, kimlik bilgilerini çalabilir, duyarlı arşivleri dışarı atabilir veya kurtarma seçeneklerini devre dışı bırakan fidye yazılımı saldırıları başlatabilir.
Acil öneriler
- Hemen Yama: Commvault güvenlik güncellemeleri yayınladı; Tüm kurulumlar gecikmeden yükseltilmelidir.
- Göstergeleri Monitör: Kuruluşlar, olağandışı dağıtım istekleri, web dizinlerinde yeni dosyalar veya beklenmedik giden trafik aramalıdır.
- Kamu Erişimini Kısıtlayın: Mümkün olduğunda, yedekleme yönetimi arayüzlerinin internete maruz kalmadığından emin olun.
CommVault CVE-2025-34028 hikayesi keskin bir hatırlatma görevi görür: Yazılım güvenliği dikkatli bir şekilde korunmazsa, felakete karşı korunmak için araçlar bile giriş noktaları olabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!