企業向けデータバックアッププラットフォームのCommvaultは、未知の国家主体の脅威アクターがCVE-2025-3928を悪用してMicrosoft Azure環境に侵入したことを明らかにしましたが、許可されていないデータアクセスの証拠はないと強調しました。
“この活動は、Microsoftと共通の少数のお客様に影響を及ぼしており、私たちはそのお客様と協力して支援を提供しています。” と同社は更新情報で述べました。
“重要なのは、Commvaultが保存し保護している顧客のバックアップデータへの許可されていないアクセスはなく、私たちの事業運営や製品・サービスの提供能力に実質的な影響はありません。”
2025年3月7日に発行された勧告では、Commvaultは2月20日にMicrosoftからAzure環境内での許可されていない活動について通知を受け、脅威アクターがCVE-2025-3928をゼロデイとして悪用したと述べました。また、影響を受けた資格情報を更新し、セキュリティ対策を強化したと述べました。
この開示は、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がCVE-2025-3928を既知の悪用された脆弱性(KEV)カタログに追加し、連邦市民行政機関(FCEB)に対して2025年5月19日までにCommvault Web Serverの必要なパッチを適用するよう要求する中で行われました。
このような攻撃によるリスクを軽減するために、顧客にはMicrosoft 365、Dynamics 365、およびAzure ADのシングルテナントアプリ登録に対して条件付きアクセスポリシーを適用し、AzureポータルとCommvault間でクライアントシークレットを90日ごとに更新・同期することが推奨されています。
同社はまた、許可された範囲外のIPアドレスからのアクセス試行を検出するためにサインイン活動を監視するようユーザーに促しています。以下のIPアドレスは悪意のある活動と関連付けられています –
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53, and
- 159.242.42.20
“これらのIPアドレスは、条件付きアクセスポリシー内で明示的にブロックされ、Azureのサインインログで監視されるべきです。” とCommvaultは述べました。”これらのIPからのアクセス試行が検出された場合は、さらなる分析と対応のために直ちにCommvaultサポートに報告してください。”