出典: T.Schneider via Shutterstock
Commvaultは、最近公開された最大の深刻度の脆弱性(CVE-2025-34028として追跡されている)に対するエクスプロイトが、最近更新されたバージョンのソフトウェアでも有効であるというセキュリティ研究者の主張に異議を唱えました。
Dark Readingへのコメントで、CommvaultのスポークスマンであるRoss Campは、研究者Will Dormannの今週初めの観察が不正確であると述べました。彼は、この問題はDormannがCommvaultに登録されていなかったため、適切な更新にアクセスして適用することができなかったことに起因するとしました。
パッチバージョンをテストしていなかった
“Commvaultは、研究者と協力してソフトウェアを手動で更新し、パッチをインストールするプロセスを説明しました。彼はそれを成功させました。”とCampはメールでのコメントで書きました。Dormannはその事実を反映するために元の投稿を修正しましたと彼は付け加えました。”しかし、正しい情報はこのセキュリティ研究者の投稿および[Dark Readingの記事]の前に利用可能であったことを指摘することが重要だと考えています。”とCampは書きました。”これはパッチが機能しなかった状況ではなく、研究者がパッチバージョンでテストしていなかった状況です。”
CVE-2025-34028(CVSSスコア10.0)は、Commvaultの管理インターフェースにおける事前認証サーバーサイドリクエストフォージェリ(SSRF)欠陥で、攻撃者が影響を受けたCommand Center環境を完全に侵害する方法を提供します。この欠陥は、Commvault Command CenterのWindowsおよびLinuxバージョンの11.38.0から11.38.19に影響を与えます。Commvaultは、watchTowrの研究者がこの欠陥を発見し、会社に報告した後、4月17日にこの欠陥とその修正をバージョン11.38.20および11.38.25で公開しました。今週初めにDormannは、watchTowrの概念実証エクスプロイトのテストが、Commvaultの更新されたソフトウェアバージョンにも有効であることを示したと書きました。
関連:組織はすべてのエクスプロイト可能な脆弱性の半分未満を修正、GenAIアプリの欠陥のうちわずか21%が解決
複数の研究者が懸念を表明しているCVE-2025-34028は、攻撃者が重要なデータバックアップおよびリカバリー環境に高い特権アクセスを得る可能性があるため、ランサムウェアの攻撃者などがターゲットにすることが多いです。Commvaultは、最近の公開後、このバグをターゲットにしたエクスプロイト活動の兆候はないと述べています。
更新されたプロセス
Dormannによれば、Commvaultとの会話の前に、Commvaultはベンダーに登録されたシステムにのみ11.38の更新を提供していました。
“Commvaultの11.38バージョンは、ソフトウェアの「イノベーションリリース」と呼ばれるもので、「パイオニア顧客」がCommvaultに登録し、利用可能な更新を見るために特別に承認されることを期待されています。”とDormannはソーシャルメディアの更新で水曜日に書きました。”この問題の点は、Azureなどを通じてCommvault 11.38 VMを立ち上げる顧客は、Commvaultに登録する正面玄関を通っていないことです。そのため、更新が利用可能であることを見ませんでした。これは…理想的ではありませんでした。”
Dark Readingへのコメントで、Dormannは、AzureまたはAWSでアプライアンスを取得したユーザーは更新について全く知らなかったと言います。そのようなシステムが更新を確認すると、利用可能なものはなく、誤って最新であると言ってしまいます。”5月7日まで、AzureまたはAWSからの11.38システムは更新を受け取ることはありませんでした。”と彼は言います。”すべてが最新であると報告していました。これはほんの数時間前に修正されました。”
Dormannは、Commvaultがバックエンドを変更して、CVE-2025-34028を修正する更新がすべてのCommvault 11.38ユーザーに手動ダウンロードプロセスを通じて利用可能になるようにしたと言います。”バージョン番号だけでは、11.38.20または11.38.25システムが脆弱かどうかを知るには不十分かもしれません。”と彼は言います。”追加の更新がインストールされているかどうかを確認する必要があります。これも私のMastodon投稿で説明されています。”
関連する追加の更新は、11.38.20用のSP38-CU20-433およびSP38-CU20-436、11.38.25用のSP38-CU25-434およびSP38-CU25-438です。
関連:Perplexity AIのチャットボットAndroidアプリで発見された10のバグ
Commvaultは、すべての有料ライセンスを持つ顧客に即座にパッチを提供したと述べました。AWSやAzureを含む無料トライアルベースでCommvaultを試している少数の個人だけが、すぐにパッチを展開できませんでした。”今では、無料トライアルユーザーもライセンスを持つ顧客と同時にパッチを適用できるようになり、これが今後のアプローチとなります。”とCampは書きました。
さらに、Commvaultはセキュリティアドバイザリを更新して、パッチが正常に展開されたかどうかを確認するための追加の指示を提供しました。”このガイダンスは、すべてのライセンスを持つ顧客およびCommvaultを試用している人に適用されます。”とCampは書きました。
Commvaultは、Astra Zeneca、ADP、3M、ING、Sony、Panasonicを含むいくつかの大企業を含む、世界中の企業顧客にデータバックアップおよびリカバリ技術を提供しています。
翻訳元: https://www.darkreading.com/application-security/commvault-patch-works-as-intended