La plataforma de respaldo de Data Enterprise CommVault ha revelado que un actor de amenaza de estado nación desconocido violó su entorno de Microsoft Azure al explotar CVE-2025-3928, pero enfatizó que no hay evidencia de acceso a datos no autorizado.
«Esta actividad ha afectado a un pequeño número de clientes que tenemos en común con Microsoft, y estamos trabajando con esos clientes para brindar asistencia», dijo la compañía en una actualización.
«Es importante destacar que no ha habido acceso no autorizado a los datos de respaldo de los clientes que CommVault almacenan y protege, y no hay impacto material en nuestras operaciones comerciales o nuestra capacidad para brindar productos y servicios».
En un aviso emitido el 7 de marzo de 2025, Commvault dijo que fue notificado por Microsoft el 20 de febrero sobre la actividad no autorizada dentro de su entorno azulado y que el actor de amenaza explotó CVE-2025-3928 como un día cero. También dijo que rotó las credenciales afectadas y las medidas de seguridad mejoradas.
La divulgación se produce cuando la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales de rama ejecutiva civil (FCEB) apliquen los parches necesarios para el servidor web CommVault para el 19 de mayo de 2025.
Para mitigar el riesgo planteado por dichos ataques, se aconseja a los clientes que apliquen una política de acceso condicional a todos los registros de aplicaciones de inquilinos de Microsoft 365, Dynamics 365 y Azure AD, y roten y sincronizan los secretos del cliente entre Azure Portal y CommVault cada 90 días.
La compañía también insta a los usuarios a monitorear la actividad de inicio de sesión para detectar cualquier intento de acceso que se origine desde direcciones IP fuera de los rangos de lista permitida. Las siguientes direcciones IP se han asociado con actividad maliciosa –
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53, y
- 159.242.42.20
«Estas direcciones IP deben bloquearse explícitamente dentro de sus políticas de acceso condicional y monitorear en sus registros de inicio de sesión de Azure», dijo Commvault. «Si se detectan algún intento de acceso de estos IP, informe el incidente de inmediato al apoyo de CommVault para su posterior análisis y acciones».