CISA ha lanzado consejos urgentes sobre la actividad cibernética continua dirigida a las aplicaciones en la nube de software de Commvault (SaaS) alojadas en entornos de Microsoft Azure.
El actor de amenaza ha accedido con éxito a los secretos del cliente de la solución de copia de seguridad Metallic Microsoft 365 de Commvault, proporcionando acceso no autorizado al entorno del cliente M365 donde los secretos de aplicaciones de Commvault almacenan.
Esta violación representa una campaña más amplia dirigida a aplicaciones en la nube de varias compañías SaaS con configuraciones predeterminadas y mayores permisos, destacando las vulnerabilidades clave en la infraestructura de seguridad en la nube empresarial.
Los actores del estado nación explota la vulnerabilidad del día cero CVE-2025-3928
La campaña de ataque se centra en explotar CVE-2025-3928, una vulnerabilidad crítica de día cero en el servidor web Commvault, que se descubrió por primera vez en febrero de 2025.
Al explotar esta vulnerabilidad, Commvault confirmó que un actor de amenaza de estado-estado desconocido ha comprometido el entorno de Microsoft Azure.
La vulnerabilidad afecta a múltiples versiones de CommVault, incluyendo 11.36.0 a 11.36.45, 11.32.0 a 11.32.88, 11.28.0 a 11.28.140 y 11.20.0 a 11.20.216. Los parches están disponibles en las versiones 11.36.46, 11.32.89, 11.28.141 y 11.20.217, respectivamente.
CISA ha agregado CVE-2025-3928 a su catálogo de vulnerabilidades explotadas (KEV) conocidas y requiere que las agencias administrativas privadas federales apliquen los parches necesarios para el 19 de mayo de 2025.
CommVault Metallic Incallado revela M365 Secretos del cliente
La explotación exitosa permitió a los actores de amenaza acceder a los secretos de los clientes para las aplicaciones metálicas de Commvault, que brindan servicios de respaldo de Microsoft 365 a los clientes empresariales.
Este acceso permitió entradas fraudulentas en el entorno M365 del cliente, y los secretos de la aplicación podrían ser almacenados por CommVault, que afectan a miles de organizaciones en todo el mundo.
CommVault ha identificado direcciones IP maliciosas específicas asociadas con el ataque: 108.69.148.100, 128.92.80.210, 184.153.42.129, 108.6.189.53 y 159.242.42.20.
Si bien CommVault afirma que los datos de respaldo de los clientes no están comprometidos y las operaciones comerciales no se ven afectadas, esta violación demuestra una focalización sofisticada de proveedores de servicios en la nube para el acceso lateral al entorno del cliente.
La CISA ha emitido una guía de mitigación integral que requiere que las organizaciones implementen múltiples controles de seguridad de inmediato. Las recomendaciones importantes son:
Los registros de auditoría de Microsoft Entra monitorean los cambios no autorizados a los directores de servicio que implementan políticas de acceso condicional que restringan la autenticación principal de los servicios de aplicación a las direcciones IP que están autorizadas dentro del alcance permitido de CommVault.
Las organizaciones también deben verificar los registros de auditoría de Entra, inicio de sesión y unificados mientras realizan una caza de amenazas internas en línea con las políticas de respuesta a incidentes.
Para aplicaciones de inquilino único, debe tener una licencia premium de ID de carga de trabajo de Microsoft Entra para aplicar políticas de acceso condicional a los principales de servicios de aplicaciones.
Las precauciones adicionales incluyen la implementación de un firewall de aplicación web para detectar intentos transversales anteriores, restringir el acceso a la red de confiabilidad para el acceso a la interfaz de gestión de CommVault y establecer una política para la rotación de calificación cada 30 días.
CISA destaca la implementación de las recomendaciones de seguridad comunes M365 descritas en el proyecto Secure Cloud Business Applications (SCUBA) para mejorar la actitud general hacia la seguridad en la nube.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
