La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) reveló el jueves que Commvault está monitoreando la actividad de amenazas cibernéticas dirigidas a aplicaciones alojadas en su entorno en la nube de Microsoft Azure.
«Los actores de amenaza pueden haber accedido a los secretos del cliente para la solución de copia de seguridad de Commvault (metalic) Microsoft 365 (M365) de copia de seguridad como servicio (SaaS), alojada en Azure», dijo la agencia.
«Esto proporcionó a los actores de amenaza acceso no autorizado a los entornos M365 de los clientes de Commvault que tienen secretos de aplicación almacenados por Commvault».
CISA señaló además que la actividad puede ser parte de una campaña más amplia dirigida a varias infraestructuras en la nube de proveedores de software como servicio (SaaS) con configuraciones predeterminadas y permisos elevados.
El aviso se produce semanas después de que Commvault revelara que Microsoft notificó a la compañía en febrero de 2025 de actividad no autorizada por un actor de amenaza de estado-nación dentro de su entorno de Azure.
El incidente condujo al descubrimiento de que los actores de amenaza habían estado explotando una vulnerabilidad de día cero (CVE-2025-3928), una falla no especificada en el servidor web de CommVault que permite a un atacante remoto y autenticado crear y ejecutar capas web.
«Según los expertos de la industria, este actor de amenaza utiliza técnicas sofisticadas para tratar de obtener acceso a los entornos del cliente M365», dijo Commvault en un anuncio. «Este actor de amenaza puede haber accedido a un subconjunto de credenciales de aplicaciones que ciertos clientes de CommVault usan para autenticar sus entornos M365».
Commvault dijo que ha tomado varias acciones correctivas, incluidas las credenciales de aplicaciones rotativas para M365, pero enfatizó que no ha habido acceso no autorizado a los datos de respaldo de los clientes.
Para mitigar tales amenazas, CISA recomienda que los usuarios y los administradores sigan las pautas a continuación –
- Monitorear los registros de auditoría de Entra para modificaciones no autorizadas o adiciones de credenciales a los directores de servicio iniciados por CommVault Solications/Service Principales
- Revise los registros de Microsoft (Auditoría de Entra, Iniciado Entra, registros de auditoría unificado) y realice una caza de amenazas internas
- Para aplicaciones de inquilinos individuales, implementa una política de acceso condicional que limita la autenticación de un principal de servicio de aplicación a una dirección IP aprobada que figura dentro de la gama de direcciones IP de CommVault.
- Revise la lista de registros de aplicaciones y directores de servicio en Entra con consentimiento administrativo para privilegios más altos que la necesidad comercial
- Restringir el acceso a las interfaces de gestión de CommVault a redes de confianza y sistemas administrativos
- Detectar y bloquear los intentos de transmisión de ruta y las cargas sospechosas de archivos mediante la implementación de un firewall de aplicación web y eliminando el acceso externo a las aplicaciones de CommVault
CISA, que agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotados conocidos a fines de abril de 2025, dijo que continúa investigando la actividad maliciosa en colaboración con organizaciones asociadas.