Commvault conferma attacco zero-day al suo ambiente cloud Azure

La violazione di Commvault: cronologia di un attacco zero-day

Commvault, leader globale nella protezione dei dati e nella gestione delle informazioni, ha recentemente confermato di essere stata vittima di un sofisticato attacco informatico. L’incidente, che ha coinvolto una vulnerabilità zero-day, ha violato l’ambiente cloud Azure dell’azienda all’inizio del 2025. Questo evento mette in evidenza i rischi in evoluzione che i fornitori di servizi cloud e i loro clienti devono affrontare nel panorama della sicurezza informatica attuale.

Il 20 febbraio 2025, Microsoft ha allertato Commvault riguardo ad attività non autorizzate nel suo ambiente cloud Azure. La risposta dell’azienda è stata immediata: ha attivato i suoi protocolli di risposta agli incidenti e ha coinvolto esperti di sicurezza informatica di alto livello, collaborando anche con le forze dell’ordine per gestire la situazione.

Dettagli dell’attacco e impatto sui clienti

L’indagine condotta da Commvault ha rivelato che l’incidente ha avuto un impatto limitato, coinvolgendo solo un piccolo numero di clienti. “La nostra indagine ha confermato che l’accesso non autorizzato ha colpito un numero limitato di clienti e li abbiamo prontamente contattati per fornire assistenza”, ha dichiarato un portavoce dell’azienda.

È importante sottolineare che, secondo quanto riportato da Commvault, non ci sono prove che l’attaccante abbia avuto accesso o compromesso i dati che l’azienda protegge per conto della sua vasta base di clienti. Inoltre, l’azienda ha confermato che le sue operazioni commerciali e la capacità di fornire prodotti e servizi sono rimaste inalterate durante tutto l’incidente.

La vulnerabilità sfruttata: CVE-2025-3928

L’analisi forense ha rivelato che l’attaccante ha sfruttato una vulnerabilità zero-day precedentemente non divulgata all’interno dell’ambiente cloud Azure di Commvault. Questa vulnerabilità, ora identificata come CVE-2025-3928, ha colpito il modulo del server web in tutti i software Commvault CommServe, Web Servers e Command Center.

Secondo le informazioni disponibili, lo sfruttamento di questa vulnerabilità richiede che un malintenzionato disponga di credenziali utente autenticate all’interno dell’ambiente software Commvault. L’accesso non autenticato non è sfruttabile. Per i clienti del software, ciò significa che l’ambiente deve essere:

1. Accessibile tramite Internet
2. Compromesso attraverso un altro vettore di attacco
3. Accessibile utilizzando credenziali utente legittime

La risposta di Commvault e le misure correttive

Non appena la vulnerabilità è stata identificata, Commvault ha agito rapidamente per correggerla. L’azienda ha rilasciato patch per risolvere il problema nelle versioni 11.36.46, 11.32.89, 11.28.141 e 11.20.217 per piattaforme Windows e Linux.

Oltre ad applicare le patch, Commvault ha fortemente incoraggiato gli utenti del suo software ad applicare l’aggiornamento il più rapidamente possibile. L’azienda ha anche raccomandato diverse pratiche di sicurezza per mitigare il rischio di attacchi simili in futuro:

1. Monitorare regolarmente l’attività di accesso per rilevare tentativi provenienti da indirizzi IP al di fuori degli intervalli consentiti
2. Ruotare e sincronizzare i segreti client tra Commvault e il portale Azure ogni 90 giorni
3. Segnalare immediatamente qualsiasi accesso non autorizzato al supporto Commvault per ulteriori indagini e risoluzioni

L’intervento delle autorità di cybersecurity

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la vulnerabilità CVE-2025-3928 al suo Catalogo delle Vulnerabilità Sfruttate Note lunedì 28 aprile 2025. Questa azione richiede alle agenzie federali di mettere in sicurezza il loro software Commvault entro il 19 maggio 2025, come stabilito dalla Direttiva Operativa Vincolante (BOD) 22-01 emessa nel novembre 2021.

“Questi tipi di vulnerabilità sono vettori di attacco frequenti per attori informatici malevoli e rappresentano rischi significativi per le imprese federali”, ha avvertito la CISA.

Altre vulnerabilità critiche in Commvault

Oltre alla CVE-2025-3928, è stata recentemente divulgata un’altra vulnerabilità critica nel Commvault Command Center. Questa falla di sicurezza, tracciata come CVE-2025-34028, ha un punteggio CVSS di 9.0 su un massimo di 10.0 e potrebbe consentire l’esecuzione di codice arbitrario su installazioni interessate.

“È stata identificata una vulnerabilità di sicurezza critica nell’installazione del Command Center, che consente agli attaccanti remoti di eseguire codice arbitrario senza autenticazione”, ha dichiarato Commvault in un avviso pubblicato il 17 aprile 2025. “Questa vulnerabilità potrebbe portare a una completa compromissione dell’ambiente Command Center”.

Questa vulnerabilità colpisce la versione 11.38 Innovation Release, dalle versioni 11.38.0 fino alla 11.38.19, ed è stata risolta nelle versioni successive (11.38.20 e 11.38.25). Il problema è radicato in un endpoint chiamato “deployWebpackage.do”, che può innescare un attacco di tipo Server-Side Request Forgery (SSRF) pre-autenticato, poiché non esiste alcun filtro su quali host possono essere contattati.

L’importanza della sicurezza nei sistemi di backup

Questi incidenti evidenziano come le soluzioni di backup e replica siano diventate obiettivi primari per gli attaccanti. Le aziende che gestiscono dati sensibili devono essere particolarmente vigili nella protezione dei loro sistemi di backup, poiché questi rappresentano spesso l’ultima linea di difesa contro attacchi ransomware e altre minacce informatiche.

Consigli per migliorare la sicurezza dopo l’attacco Commvault

Aggiornamenti e patch

È fondamentale mantenere aggiornati tutti i sistemi di backup e ripristino. Gli aggiornamenti spesso contengono patch di sicurezza per vulnerabilità note. Nel caso specifico degli utenti Commvault:

• Aggiornare immediatamente i sistemi alla versione più recente che include le patch per le vulnerabilità CVE-2025-3928 e CVE-2025-34028
• Implementare un processo di gestione delle patch che consenta di applicare rapidamente gli aggiornamenti critici di sicurezza
• Iscriversi agli avvisi di sicurezza di Commvault e di altri fornitori di software utilizzati nella vostra infrastruttura

Autenticazione e controllo degli accessi

La gestione delle identità e degli accessi è cruciale per prevenire attacchi simili:

• Implementare l’autenticazione a più fattori (MFA) per tutti gli accessi ai sistemi di backup
• Applicare il principio del privilegio minimo, garantendo che gli utenti abbiano solo i permessi necessari per svolgere le loro funzioni
• Rivedere regolarmente gli account utente e revocare l’accesso quando non è più necessario
• Implementare sistemi di gestione delle identità privilegiate (PAM) per gli account amministrativi

Monitoraggio e rilevamento delle minacce

Un monitoraggio efficace può aiutare a identificare attività sospette prima che causino danni significativi:

• Configurare il monitoraggio in tempo reale per le attività sospette nei sistemi di backup
• Implementare soluzioni di rilevamento delle anomalie basate sull’intelligenza artificiale
• Centralizzare i log di sicurezza per facilitare l’analisi e la correlazione degli eventi
• Eseguire regolarmente scansioni di vulnerabilità sui sistemi di backup

Segmentazione della rete

La segmentazione può limitare la diffusione di un attacco:

• Isolare i sistemi di backup in una rete separata
• Implementare firewall e liste di controllo degli accessi per limitare la comunicazione tra i segmenti di rete
• Utilizzare VPN o connessioni dedicate per accedere ai sistemi di backup da remoti
• Considerare l’implementazione di una strategia zero-trust che richieda la verifica continua dell’identità e dell’integrità

Backup e ripristino

Paradossalmente, anche i sistemi di backup necessitano di backup:

• Implementare la regola 3-2-1: tre copie dei dati, su due tipi diversi di supporti, con una copia conservata fuori sede
• Testare regolarmente le procedure di ripristino per garantire che funzionino quando necessario
• Considerare l’utilizzo di backup immutabili che non possono essere modificati o eliminati per un periodo di tempo definito
• Sviluppare e testare un piano di risposta agli incidenti specifico per gli attacchi ai sistemi di backup

Formazione e consapevolezza

Il fattore umano rimane un elemento cruciale nella sicurezza informatica:

• Formare regolarmente il personale IT sulle minacce emergenti e sulle migliori pratiche di sicurezza
• Condurre esercitazioni di risposta agli incidenti che includano scenari di compromissione dei sistemi di backup
• Promuovere una cultura della sicurezza in tutta l’organizzazione
• Mantenersi aggiornati sulle ultime tendenze e tecniche di attacco

Considerazioni finali sulla sicurezza del cloud

L’attacco a Commvault sottolinea l’importanza di un approccio alla sicurezza a più livelli quando si utilizzano servizi cloud. Le organizzazioni dovrebbero:

1. Non fare affidamento esclusivamente sulle misure di sicurezza del fornitore cloud
2. Implementare controlli di sicurezza aggiuntivi propri
3. Mantenere una visibilità completa sulle risorse cloud
4. Rivedere regolarmente le configurazioni di sicurezza
5. Considerare soluzioni di backup multi-cloud per evitare dipendenze da un singolo fornitore

Gli attacchi zero-day come quello subito da Commvault rappresentano una sfida significativa, in quanto sfruttano vulnerabilità precedentemente sconosciute. Tuttavia, con un approccio proattivo alla sicurezza, le organizzazioni possono mitigare i rischi e minimizzare l’impatto di tali attacchi.

La trasparenza dimostrata da Commvault nella gestione di questo incidente è encomiabile e serve da esempio per altre aziende. Comunicare apertamente gli incidenti di sicurezza, collaborare con le autorità e fornire indicazioni chiare ai clienti colpiti sono pratiche che contribuiscono a rafforzare la resilienza dell’intero ecosistema digitale.

Fonte: https://gbhackers.com/commvault-confirms-zero-day-attack