L’Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti (CISA) ha rivelato giovedì che Commvault sta monitorando un’attività di minaccia informatica diretta alle applicazioni ospitate nel loro ambiente cloud su Microsoft Azure.
Gli avvisi della CISA sulle problematiche di cloud e SaaS
“I malintenzionati potrebbero aver avuto accesso ai segreti dei client del software di backup Microsoft 365 (M365) di Commvault (Metallic), offerto come servizio (SaaS) e ospitato su Azure”, ha dichiarato l’agenzia, aggiungendo: “questo ha fornito ai malintenzionati un accesso non autorizzato agli ambienti M365 dei clienti di Commvault che avevano segreti applicativi archiviati da Commvault.”
CISA ha inoltre osservato che questa attività potrebbe far parte di una campagna più ampia che prende di mira le infrastrutture cloud di vari fornitori di servizi software-as-a-service (SaaS), sfruttando configurazioni predefinite e permessi elevati.
Questa comunicazione arriva a poche settimane dalla rivelazione, da parte di Commvault, che Microsoft ha notificato all’azienda, nel febbraio 2025, attività non autorizzata da parte di un attore statale ostile all’interno del suo ambiente Azure.
L’incidente ha portato alla scoperta che gli attori delle minacce stavano sfruttando una vulnerabilità zero-day (CVE-2025-3928), una falla non specificata nel Commvault Web Server che consente a un attaccante remoto e autenticato di creare ed eseguire web shell.
“Secondo esperti del settore, questo criminale informatico utilizza tecniche sofisticate per cercare di accedere agli ambienti M365 dei clienti”, ha affermato Commvault in un comunicato. “Questo criminale informatico potrebbe aver avuto accesso a un sottoinsieme di credenziali applicative usate da alcuni clienti di Commvault per autenticarsi ai loro ambienti M365.”
Commvault ha dichiarato di aver intrapreso diverse azioni correttive, tra cui la rotazione delle credenziali applicative per M365, ma ha sottolineato che non c’è stato alcun accesso non autorizzato ai dati di backup dei clienti.
Come aziende e privati possono tutelarsi secondo la CISA
Per mitigare tali minacce, CISA raccomanda a utenti e amministratori di seguire le seguenti linee guida:
- Monitorare i log di audit di Microsoft Entra per modifiche o aggiunte non autorizzate di credenziali ai service principal avviate dalle applicazioni/entità di servizio di Commvault
- Analizzare i log Microsoft (audit Entra, accessi Entra, log di audit unificati) e condurre attività interne di threat hunting
- Per le applicazioni a tenant singolo, implementare una politica di accesso condizionato che limiti l’autenticazione dell’entità di servizio dell’applicazione a un indirizzo IP approvato e incluso nell’elenco di IP consentiti da Commvault
- Verificare l’elenco delle registrazioni di applicazioni e dei service principal in Entra con consenso amministrativo a privilegi superiori rispetto a quelli necessari
- Limitare l’accesso alle interfacce di gestione di Commvault a reti fidate e sistemi amministrativi
- Rilevare e bloccare tentativi di path traversal e upload sospetti di file implementando un Web Application Firewall e rimuovendo l’accesso esterno alle applicazioni Commvault
CISA, che ha aggiunto CVE-2025-3928 al suo Catalogo delle Vulnerabilità Conosciute ed Exploitabili alla fine di aprile 2025, ha dichiarato di continuare le indagini sull’attività malevola in collaborazione con organizzazioni partner.
