Los analistas de ciberseguridad están compitiendo para responder a campañas de explotación activas dirigidas al entorno CommVault de Microsoft Azure a través de la vulnerabilidad recientemente identificada en CVE-2025-3928.
Esta vulnerabilidad crítica que permite a los atacantes autenticados comprometer los servidores web a través de la creación y ejecución de conchas web ya ha sido armada por sofisticados actores de amenaza de estado-estado y ahora es parte del catálogo de vulnerabilidades explotadas (KEV) conocidas de CISA.
La vulnerabilidad CVE-2025-3928 afecta el módulo del servidor web CommVault en todas las implementaciones de software CommServe, Web Server y Center Center.
Según el aviso de CommVault, la vulnerabilidad permite a los actores de amenaza autenticados comprometer sus servidores web creando y ejecutando un shell web.
La explotación requiere credenciales autenticadas, pero los atacantes recuperaron con éxito y utilizaron estas credenciales para facilitar la intrusión.
“Esta actividad ha afectado a un pequeño número de clientes que compartimos con Microsoft, y trabajamos con estos clientes para brindar apoyo”, dijo Commvault en una actualización reciente.
La compañía enfatizó que a pesar de la investigación continua, no hay evidencia de acceso no autorizado a los datos de copia de seguridad del cliente.
Detección con KQL
Steven Lim de KQLWizard ha desarrollado una consulta KQL que detecta compromisos potenciales y reduce el daño antes de que los datos confidenciales se amplíen.
Los equipos de seguridad que administran entornos de Azure con Commvault Integration pueden implementar consultas KQL para identificar actividades sospechosas.
La siguiente consulta aprovecha los registros de actividad de Azure y los firmantes para detectar intentos de conexión de direcciones IP maliciosas conocidas asociadas con campañas de explotación.
Textlet CommVaultioC = Dynamic ((“108.69.148.100”, “128.92.80.210”, “184.153.42.129”, “108.6.189.53”, “159.242.42.20”); Azureativityresult = azureatividad | Digamos la traducción del tiempo> hace (90d) | Calleripaddress ha_AY (CommVaultioc); SigninLogs | Transulación de tiempo> AGO (90D) | iPaddress ha_any (CommVaultioc) | Lesult para la Unión Azuuria
Esta consulta crea una matriz dinámica que contiene direcciones IP que Commvault ha sido identificada como relacionada con la actividad maliciosa.
Luego busca los registros de actividad de Azure y los registros de firma durante los últimos 90 días, filtrando eventos en los que la dirección IP de la persona que llama coincide con estas direcciones maliciosas conocidas, identificando efectivamente los posibles intentos de compromiso.
alivio
CISA requiere que las agencias administrativas privadas federales parcen la vulnerabilidad antes del 19 de mayo de 2025.
Sin embargo, todas las organizaciones que usan productos Commvault deben aplicar inmediatamente las correcciones disponibles para las versiones 11.36.46, 11.32.89, 11.28.141 y 11.20.217 a las plataformas Windows y Linux.
Más allá del parche, CommVault recomienda implementar políticas de acceso condicional para todos los registros de aplicaciones de inquilinos de un solo inquilino de Microsoft 365, Dynamics 365 y Azure AD. Además, las organizaciones deberían:
Gire y sincronice los secretos del cliente entre el portal de Azure y el comunicado cada 90 días. Bloquea explícitamente direcciones IP maliciosas identificadas en políticas de acceso condicional. Monitorea la actividad de inicio de sesión para intentos de acceder desde tolerancias externas. Informe cualquier actividad sospechosa de inmediato al apoyo de Commvault.
En los actores de estado-nación que utilizan activamente CVE-2025-3928, las organizaciones deben priorizar la detección y la remediación.
Las consultas KQL proporcionadas sirven como una herramienta clave para que los equipos de seguridad identifiquen compromisos potenciales a través de las capacidades de registro nativas de Azure.
Al combinar este mecanismo de detección con un parcheo adecuado y medidas de seguridad mejoradas, las organizaciones pueden garantizar la integridad de su entorno de comunicación al tiempo que reducen significativamente la exposición al riesgo.
¿Configuración del equipo de SOC? – Descargue la Guía de precios de SIEM Ultimate (PDF) gratuita para equipos SOC -> Descarga gratuita
