CommVault Innovation sürümünü kullanan işletmelerin hemen CVE-2025-34028’e karşı yama yapması istenir. Bu kritik kusur, saldırganların kod kodunu uzaktan çalıştırmasına ve tam kontrol kazanmasına izin verir.
Kurumsal yedekleme ve veri yönetimi için yaygın olarak benimsenen bir çözüm olan Commvault Komuta Merkezi’nde ciddi bir güvenlik açığı bulunmuştur. CVE-2025-34028 olarak izlenen ve 10 üzerinden 9.0 kritik bir önem skoru atanan bu kusur, uzaktan saldırganların giriş yapmasına gerek kalmadan savunmasız commvault kurulumlarında istedikleri herhangi bir kodu yürütmesine izin verebilir.
Tehlikeli zayıflık keşfedildi ve 7 Nisan 2025’te WatchTowr Labs’lı bir araştırmacı olan Sonny MacDonald tarafından sorumlu bir şekilde bildirildi. Analizleri, güvenlik açığının “deployWebpackage.do. ”
Bu uç nokta, Commvault sisteminin etkileşime girmesine izin verilen harici sunucularda uygun doğrulama eksikliğinden dolayı önceden onaylanmış bir sunucu tarafı istek ampudu (SSRF) saldırısına duyarlıdır.
Commvault, 17 Nisan 2025’te yayınlanan bir güvenlik danışmanında konuyu kabul etti ve bu kusurun “komuta merkezi ortamının tam bir uzlaşmasına yol açabileceğini”, potansiyel olarak hassas verileri ortaya çıkardığını ve kritik işlemleri bozduğunu belirtti.
Ancak, SSRF güvenlik açığı tam kod yürütülmesi için sadece başlangıç noktasıdır. Araştırmalar, saldırganların kötü niyetli bir farikasyon içeren özel hazırlanmış bir zip arşivi göndererek bunu daha da kullanabileceğini ortaya koydu ”.JSP”Dosya, Commvault sunucusunu saldırgan tarafından kontrol edilen bir sunucudan getirmeye kandırıyor. Bu fermuarın içeriği daha sonra, saldırganın etkileyebileceği bir konuma olan geçici bir dizine çıkarılır.
Sonraki isteklerde “ServicePack” parametresini akıllıca manipüle ederek, saldırgan sistemin dizinlerini tarayabilir ve kötü niyetlerini taşıyabilir ”.JSP" “../../Reports/MetricsUpload/shell. ” Son olarak, SSRF güvenlik açığını tekrar tetikleyerek, saldırgan “.jsp” dosyalarını bu erişilebilir konumdan yürütebilir ve CommVault sisteminde keyfi kod çalıştırabilir.
Ancak, bu durumda, zip dosyası tipik bir şekilde okunmaz. Bunun yerine, yazılım işlemlerinin savunmasız kısmından önce “çok partili bir istek” den okunur. Bu, bilgisayar korsanlarının normal web isteklerini engelleyebilecek güvenlik önlemlerini atlamasına izin verebilir.
WatchTowr Labs, güvenlik sorununu CommVault’a bildirdi ve bu da bir yama ile hızla hitap etti. Yama 10 Nisan 2025’te yayınlandı ve sorun daha sonra 17 Nisan 2025’te açıklandı.
CommVault, sorunun sadece “İnovasyon Sürümü” yazılımı sürümünü 11.38.0 ila 11.38.19 sürümünü etkilediğini doğruladı, bu nedenle 11.38.20 veya 11.38.25 sürümünün güncellenmesinin sorunu çözeceğini doğruladı. WatchTowr Labs ayrıca yöneticilerin CVE-2025-34028’e maruz kalan sistemleri belirlemelerine yardımcı olmak için bir “algılama artefakt jeneratörü” oluşturdu.
Bu araştırma, yedekleme sistemlerinin siber saldırılar için yüksek değerli hedefler haline geldiğini vurgulamaktadır. Bu sistemler bir saldırıdan sonra normalliği geri kazanmak için çok önemlidir ve kontrol edilirlerse, öncelikle önemli bir tehdit oluştururlar, çünkü bu sistemler genellikle önemli şirket bilgisayar parçaları için gizli kullanıcı adları ve şifreler içerir. Kusurun şiddeti, bu tür saldırılardan optimum korumayı sağlamak için veri koruma ve yedekleme altyapısı için hızlı güvenlik güncellemelerine duyulan ihtiyacı vurgulamaktadır.
VP CISO Danışmanlığı, Colortokens, en son geliştirme hakkında yorum yaptı, bu CVSS 10 kusuru, CommVault’un komuta merkezinin tam uzlaşmasını riske atarak kimliği doğrulanmamış uzaktan kod yürütmesine izin veriyor. Hemen, sürekli hafifletme esastır. Tam ağ kapatılması mümkün değilse, XShield Gatekeeper gibi araçlar kritik sistemleri hızlı bir şekilde izole edebilir. Eylem olmadan, fidye yazılımı ve veri kaybı tehdidi şiddetlidir.