CommVault, kimlik doğrulanmamış saldırganların amiral gemisi yedekleme ve çoğaltma paketinin şirket içi konuşlandırmalarından ödün vermesine izin verebilecek dört güvenlik açığı düzeltildi.
Güvenlik açıkları hakkında teknik detaylar Çarşamba günü, uzaktan kod yürütülmesi için birlikte zincirlenebileceklerini kanıtlayan WatchTowr Labs’taki araştırmacılar tarafından yayınlandı.
Araştırmacılar POC istismarlarını yayınlamaktan kaçındılar, ancak çok ayrıntılı yazıları bunları yaratma engelini azaltır. CommVault’u şirket içinde çalıştıran yöneticiler, en son bakım sürümlerini mümkün olduğunca çabuk güncellemelidir.
Güvenlik açıkları
CommVault, verileri yedeklemek ve geri yüklemek, iş yüklerini taşıma, uyumluluk ve tutma ve elde tutma ve daha fazlası için kullanılan bir kurumsal veri koruma ve yönetim platformudur.
Commvault öncelikle büyük işletmeler, hizmet sağlayıcıları ve çok fazla veriyi desteklemesi ve yönetmesi gereken devlet kurumları tarafından kullanılır. Ayrıca genellikle SaaS yedeklemesinin bir seçenek olmadığı ortamlarda şirket içi konuşlandırılır (örneğin, düzenleyici uyumluluk gereksinimleri nedeniyle).
WatchTowr araştırmacıları Sonny MacDonald ve Piotr Bazydlo tarafından ortaya çıkarılan dört güvenlik açığı, CommVault’un yönetim uçağının web sunucusu, komut merkezi ve bazı durumlarda Commserve – CommVault dağıtımının “merkezi beyni” de dahil olmak üzere temel kısımlarını etkiler.
Bir hata (CVE-2025-57788) düşük ayrıcalıklı bir hesap için şifreyi sızdırır. Bir diğer (CVE-2025-57789) bir saldırganın, sabit kodlu bir anahtar kullanarak yerleşik yönetici şifresini şifresini çözmesine izin verir (ayrıcalık artışına izin verir).
Üçüncü bir kusur (CVE-2025-57791) düşük bir ayrıcalık oturumu jetonu almak için bir giriş isteğinde bir argüman enjeksiyonunu kötüye kullanır. Final (CVE-2025-57790) saldırganların web dizinlerine dosya yazmasına izin verebilecek bir yol geçiş sorunudur, bu da bir JSP webshell’i bırakmayı ve daha sonra keyfi komutlar çalıştırmayı mümkün kılar.
İstismarlar
Güvenlik açıkları, iki ayrı uzaktan kumanda (RCE) zincirinin bir parçası olarak kullanılabilir.
Zincirlerden biri, yalnızca yerleşik yönetici parolası kurulumdan bu yana değiştirilmediyse ve CVE-2025-57788’den (kimlik doğrulaması atlamak için), CVE-2025-57789 (ayrıcalıkları artırmak için) ve RCE elde etmek için CVE-2025-57790’dan yararlanmaya dayanıyor.
Görünüşe göre herhangi bir Commvault örneğine karşı çalışan ikincisi, RCE için (bir web Shell enjekte ederek) kimlik doğrulama ve CVE-2025-57790’ı atlamak için CVE-2025-57791 kullanır.
Araştırmacılar, “Ön koşulların veya onu engelleyecek çevresel sınırlamaların farkında değiliz” dedi.
Ne yapalım?
Yedekleme yazılımı cazip bir hedeftir, çünkü bir kuruluşun verilerinin anahtarlarını tutar. Bir yedekleme sisteminden ödün veren saldırganlar kurtarma noktalarını yok edebilir veya hassas bilgileri çalabilir. Fidye yazılımı operatörleri, kurbanların sistemlerini geri yükleyemeyeceğinden emin olmak için yedek sunuculardan sonra gitme geçmişine sahiptir.
Dört güvenlik açığı, Linux ve Windows’ta CommVault Ana Şube Sürümlerini 11.32.0 – 11.32.101 ve 11.36.0 – 11.36.59’u etkiler. Hepsi 11.32.102 ve 11.36.60 sürümlerinde sabitlenmiştir. (Şirket, güvenlik açıklarının Commvault SaaS çözümü için geçerli olmadığını söylüyor.)
WatchTowr araştırmacıları, CommVault’un “İnovasyon” şubesinin 11.38.20 – 11.38.25 sürümlerinin de etkilendiğini ve kusurların 11.38.32 sürümünde yamalandığını söylüyor.
Güncellemeleri hemen uygulayamayan kuruluşlar, savunmasız örneklerin maruz kalmasını mümkün olduğunca sınırlandırmalı ve olağandışı API etkinliği ve web dizinleri altında ortaya çıkan beklenmedik dosyalar için arayışında olmalıdır.
Bu yılın başlarında, WatchTowr araştırmacıları CommVault Komuta Merkezi’ni (inovasyon sürümü) etkileyen ve Auth öncesi RCE’ye izin veren bir yol geçiş kırılganlığı olan CVE-2025-34028 hakkında ayrıntıları açıkladı. Ayrıca bir kavram kanıtı istismarı yayınladılar ve saldırganların kusurdan yararlanması sadece bir hafta sürdü.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!