Veri koruma çözümlerinin önde gelen bir sağlayıcısı olan Commvault, Azure ortamını ihlal eden bir ulus devlet tehdit oyuncusu müşteri yedekleme verilerine erişemediğini söylüyor.
Mart 2006’dan bu yana NASDAQ’da listelenen Commvault, S&P MIDCAP 400 endeksine dahildir ve 100.000’den fazla kuruluşa siber esneklik hizmetleri sunmaktadır.
Şirketin 7 Mart 2025’te ilk kez açıklandığı gibi, Commvault, 20 Şubat’ta Microsoft tarafından Azure ortamında şüpheli etkinliklerden haberdar edildikten sonra olayı keşfetti. İhlal ile ilgili bir takip soruşturması, olayın sadece az sayıda Commvault müşterisini etkilediğini ve şirketin operasyonlarını etkilemediğini buldu.
Şirketin baş güven memuru Danielle Sheer, “Önemli olarak, CommVault depoları ve koruyan müşteri yedekleme verilerine yetkisiz erişim yoktu ve iş operasyonlarımız veya ürün ve hizmet sunma yeteneğimiz üzerinde önemli bir etki yaratmadı.” Dedi.
Diyerek şöyle devam etti: “Önde gelen iki siber güvenlik firmasıyla yakın çalışıyoruz ve FBI, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve diğerleri de dahil olmak üzere uygun yetkililerle koordine ediyoruz.”
Uzlaşma göstergelerini içeren bir destek belgesinde CommVault, müşterilere verilerini benzer saldırı denemelerine karşı korumak için tüm Microsoft 365, Dynamics 365 ve Azure AD tek kiracı uygulama kayıtlarına koşullu erişim politikası uygulamalarını tavsiye eder.
Ayrıca, izin verilen aralıkların dışındaki IP adreslerinden kaynaklanan erişim denemelerini tespit etmek ve CommVault ve Azure portalı arasındaki istemci sırlarını her 90 günde bir döndürmek ve senkronize etmek için düzenli olarak izlemeniz önerilir.
Şirket, “Bu, potansiyel güvenlik ihlallerini veya hesap uzlaşmalarını hızlı bir şekilde belirlemeye yardımcı olabilir. Yetkisiz erişim tespit edilirse, olayı derhal daha fazla araştırma ve iyileştirme için CommVault desteğine bildirin.”
Şirket ayrıca, orijinal açıklamada, tehdit aktörlerinin, düşük ayrıcalıklı uzaktan kimliği doğrulanmış saldırganların hedef sunuculardaki web kıyılarını uzaklaştırmaya uzaktan kullanabileceği CommVault Web Server yazılımında, şimdi paketlenmiş sıfır gün güvenlik açığından (CVE-2025-3928) sömürdüğünü kaydetti.
CISA ayrıca, Pazartesi günü bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-3928 güvenlik açığını ekledi ve federal ajansların Kasım 2021’de yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılındığı gibi 19 Mayıs 2025’e kadar güvence altına alınmasını gerektirdi.
Cisa, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.”