米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は木曜日、CommvaultがMicrosoft Azureクラウド環境にホストされているアプリケーションを標的とするサイバー脅威活動を監視していることを明らかにしました。
「脅威アクターは、AzureにホストされているCommvaultの(Metallic)Microsoft 365(M365)バックアップソフトウェア・アズ・ア・サービス(SaaS)ソリューションのクライアントシークレットにアクセスした可能性があります」と、同庁は述べました。
「これにより、脅威アクターはCommvaultの顧客のM365環境に、Commvaultが保存しているアプリケーションシークレットを通じて不正アクセスできるようになりました。」
CISAはさらに、この活動がデフォルトの設定と権限が高い状態でのさまざまなソフトウェア・アズ・ア・サービス(SaaS)プロバイダーのクラウドインフラストラクチャを標的とするより広範なキャンペーンの一部である可能性があると指摘しました。
この勧告は、Commvaultが2025年2月にMicrosoftから、Azure環境内で国家による脅威アクターによる不正活動があったことを通知された数週間後に発表されました。
この事件は、脅威アクターがゼロデイ脆弱性(CVE-2025-3928)を悪用していたことの発見につながりました。これは、Commvault Webサーバーの未特定の欠陥で、リモートの認証済み攻撃者がウェブシェルを作成および実行できるようにするものです。
「業界の専門家によれば、この脅威アクターは顧客のM365環境にアクセスしようとするために高度な技術を使用しています」と、Commvaultは発表で述べました。「この脅威アクターは、特定のCommvaultの顧客がM365環境を認証するために使用するアプリの資格情報の一部にアクセスした可能性があります。」
Commvaultは、M365のアプリ資格情報のローテーションを含むいくつかの是正措置を講じたと述べましたが、顧客のバックアップデータへの不正アクセスはなかったと強調しました。
このような脅威を軽減するために、CISAはユーザーと管理者に以下のガイドラインに従うことを推奨しています –
- Commvaultアプリケーション/サービスプリンシパルによって開始されたサービスプリンシパルへの資格情報の不正な変更や追加をEntra監査ログで監視する
- Microsoftログ(Entra監査、Entraサインイン、統合監査ログ)を確認し、内部の脅威ハンティングを実施する
- シングルテナントアプリの場合、Commvaultの許可されたIPアドレス範囲内にリストされている承認済みIPアドレスへのアプリケーションサービスプリンシパルの認証を制限する条件付きアクセスポリシーを実装する
- ビジネスニーズよりも高い権限を持つ管理者の同意を得たEntraのアプリケーション登録とサービスプリンシパルのリストを確認する
- 信頼できるネットワークと管理システムに対してCommvault管理インターフェースへのアクセスを制限する
- Webアプリケーションファイアウォールを展開し、Commvaultアプリケーションへの外部アクセスを削除することで、パストラバーサルの試みや疑わしいファイルのアップロードを検出してブロックする
2025年4月末にCISAがその既知の悪用された脆弱性カタログにCVE-2025-3928を追加したCISAは、パートナー組織と協力して悪意のある活動の調査を続けていると述べました。
翻訳元: https://thehackernews.com/2025/05/cisa-warns-of-suspected-broader-saas.html