CommVault, un proveedor líder de soluciones de protección de datos, confirmó que los actores de amenaza de estado-nación violaron su entorno azulado en febrero al aprovechar las vulnerabilidades de día cero.
La compañía dijo que el incidente afectó a un pequeño número de clientes, pero los datos de respaldo no se vieron comprometidos durante el ataque.
Según Commvault, se detectó por primera vez una violación cuando Microsoft notificó a la compañía sobre actividades sospechosas el 20 de febrero de 2025 dentro de un entorno azul.
“Rápidamente energizamos nuestros planes de respuesta a incidentes con el apoyo de las principales compañías de ciberseguridad y la aplicación de la ley”, dijo Danielle Sheer, directora de confianza de Commvault en una actualización el miércoles.
Las investigaciones revelan que el atacante está explotando actualmente una vulnerabilidad previamente desconocida identificada en el software de servidor web CommVault como CVE-2025-3928.
0 días de vulnerabilidad explotados
Esta falla de seguridad ha habilitado atacantes de autenticación remota con menos privilegios para plantar un shell web en un servidor de destino. Desde entonces, la vulnerabilidad se ha parcheado en múltiples versiones de software.
“Es importante tener en cuenta que no hay acceso no autorizado a las tiendas y los datos de respaldo de los clientes que Commvault protege, y no afecta materialmente nuestras operaciones comerciales o nuestra capacidad de proporcionar productos y servicios”, enfatizó Sheer.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) agregó CVE-2025-3928 a su conocido catálogo de vulnerabilidades explotados el lunes 28 de abril, solicitando a las agencias federales que protejan su software de comunicación antes del 19 de mayo de 2025.
La agencia advirtió que “este tipo de vulnerabilidades son vectores de ataque frecuentes de actores cibernéticos maliciosos, plantea graves riesgos para las empresas federales”.
Los investigadores de seguridad han evaluado una vulnerabilidad con una puntuación base de CVSS de 8.8, lo que refleja su importante impacto potencial.
Para explotar esta vulnerabilidad, un atacante debe autenticar las credenciales de los usuarios dentro del entorno del software CommVault. Esto significa que se debe acceder al sistema de destino a través de Internet, comprometido a través de otra vía y se accede utilizando credenciales legítimas.
En respuesta a la violación, Commvault parchó la vulnerabilidad e implementó varias medidas de seguridad. La compañía gira las credenciales afectadas y trabaja en estrecha colaboración con dos principales compañías de ciberseguridad, el FBI y el CISA.
CommVault también publica la orientación del cliente para proteger los sistemas, incluida la aplicación de políticas de acceso condicional a Microsoft 365, Dynamics 365 y Azure AD AD Los registros de aplicaciones de inquilinos únicos.
Además, la compañía recomienda que los clientes rompan y sincronicen los secretos del cliente entre el portal de Azure y CommVault cada 90 días, y controlen regularmente la actividad de inicio de sesión para intentos de acceder desde direcciones IP no autorizadas.
CommVault ha identificado varias direcciones IP relacionadas con actividades maliciosas que deben bloquearse explícitamente: 108.69.148.100, 128.92.80.210, 184.153.42.129, 108.6.189.53 y 159.242.42.20.
“Ninguna empresa no se ve afectada por el ataque. Creemos que compartir información y trabajar juntos nos hará más resistentes”, dijo Commvault en su consulta.
El incidente destaca la creciente sofisticación de las amenazas cibernéticas en estado nación dirigida a la infraestructura crítica y los sistemas de protección de datos.
Las organizaciones que utilizan productos CommVault se recomiendan altamente para aplicar los últimos parches de seguridad e implementar medidas de seguridad recomendadas para proteger su entorno de ataques similares.
Obtenga cualquier prueba de 14 días hoy y proteja lo más importante.
