Новости Госхакеры использовали 0Day, чтобы проникнуть через Commvault в американские облака

[NewsMaker]

Новая кампания атак на SaaS уже здесь — и Commvault оказался первым в списке.

---

---

Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Об этом Для просмотра ссылки Войди или Зарегистрируйся агентство CISA, указав на активность злоумышленников в облачной среде Microsoft Azure.

По данным агентства, атакующие могли получить доступ к конфиденциальным данным — в частности, к клиентским секретам, которые использовались для подключения к резервной копии Microsoft 365. Эти данные хранились в Azure-окружении Commvault и, вероятно, позволили злоумышленникам проникнуть во внутренние среды M365 ряда компаний-клиентов.

Компрометация затронула программное обеспечение Metallic — облачное решение Commvault, предоставляющее услуги по резервному копированию как сервис (SaaS). В агентстве отметили, что инцидент может быть частью масштабной кампании, направленной против поставщиков Для просмотра ссылки Войди или Зарегистрируйся с уязвимыми конфигурациями и избыточными правами доступа по умолчанию.

Первоначальное уведомление о подозрительной активности Для просмотра ссылки Войди или Зарегистрируйся ещё в феврале 2025 года. Согласно отчёту самой Commvault, расследование показало, что государственная хакерская группировка использовала неизвестную ранее Для просмотра ссылки Войди или Зарегистрируйся в веб-сервере компании ( Для просмотра ссылки Войди или Зарегистрируйся ). Уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере.

Команда Commvault объяснила, что атакующие применяли продвинутые методы, чтобы Для просмотра ссылки Войди или Зарегистрируйся к конфиденциальным ключам авторизации, используемым клиентами для связи с M365. Хотя компания подчёркивает, что резервные копии данных не были затронуты, некоторая часть учётных данных могла быть скомпрометирована.

В ответ на инцидент Commvault провела ротацию всех учетных данных M365, а также усилила контроль за сервисами в облаке. Компания продолжает сотрудничать с государственными структурами и промышленными партнёрами для дальнейшего анализа ситуации.

Специалисты представили перечень мер по снижению рисков:

• отслеживание журналов Для просмотра ссылки Войди или Зарегистрируйся Entra на предмет несанкционированных изменений или добавлений учётных данных, связанных с приложениями Commvault;
• анализ журналов Microsoft (Entra audit, Entra sign-in, unified audit logs) и проведение внутренней охоты на угрозы;
• для однопользовательских приложений — реализация политик условного доступа, ограничивающих аутентификацию сервисных компонентов Commvault по IP-адресам из доверенного диапазона;
• проверка списка регистраций приложений и сервис-принципалов Entra с повышенными правами;
• ограничение доступа к интерфейсам управления Commvault только из доверенных сетей;
• Для просмотра ссылки Войди или Зарегистрируйся для блокировки попыток обхода путей и подозрительных загрузок файлов, а также удаление внешнего доступа к приложениям Commvault.

Данный инцидент подчёркивает важность защиты облачной инфраструктуры и необходимость своевременного реагирования на угрозы. Как показывают исследования, Для просмотра ссылки Войди или Зарегистрируйся на корпоративные системы становятся всё более изощрёнными, используя новые векторы для компрометации облачных сервисов.