美國網絡安全和基礎設施安全局(CISA)近日發出警告，稱威脅行為者正在濫用Commvault的SaaS云應用Metallic，以獲取其客戶的關鍵應用密鑰。

漏洞利用導致M365環境遭入侵

根據CISA發布的公告，威脅行為者可能已通過Commvault的Metallic Microsoft 365(M365)備份解決方案獲取了客戶密鑰。該解決方案托管在Microsoft Azure上，攻擊者借此獲得了對客戶M365環境的未授權訪問權限，這些環境中存儲了由Commvault保管的應用密鑰。

攻擊者利用一個零日漏洞實現了對Commvault M365密鑰的未授權訪問。微軟曾在2月份警告Commvault，稱其Web Server存在一個未公開的高危漏洞(編號為CVE-2025-3928)，且某國家支持的黑客組織正在積極利用該漏洞獲取Azure環境的訪問權限。

Black Duck基礎設施安全實踐總監Thomas Richards表示，SaaS工作流本身存在脆弱性。"雖然SaaS解決方案減輕了企業在托管和基礎設施方面的管理負擔，但另一方面企業也無法對這些環境進行安全控制。當Commvault遭到入侵時，受害者甚至沒有意識到發生了數據泄露。"

CVE-2025-3928對SaaS安全的影響

CISA在公告中指出，懷疑CVE-2025-3928漏洞的利用是針對SaaS應用的更廣泛攻擊活動的一部分，這些應用通常采用默認設置并擁有高級權限。

BeyondTrust現場首席技術官James Maude評論道："這凸顯了允許第三方特權訪問環境所涉及的風險——他們的漏洞就是你的漏洞。"

"雖然許多企業對承包商和第三方使用的人工賬戶訪問權限有嚴格的控制措施，但對于支持機器間交互的非人類身份和密鑰，情況往往大不相同，"Maude補充道。

根據Commvault的調查，國家支持的黑客組織通過零日漏洞CVE-2025-3928獲取了部分應用憑證，這些憑證被某些Commvault客戶用于驗證其M365環境。

CISA呼吁立即修補漏洞

這個影響Commvault Web Server的高危漏洞(CVSS評分為8.7分)使攻擊者能夠在受感染環境中創建和執行Webshell。2025年4月28日，CISA將該漏洞列入已知被利用漏洞目錄(KEV)，要求聯邦民事行政部門(FCEB)機構在2025年5月19日前修補系統，以消除各民事機構中的危險漏洞。

該公司在2月份收到微軟警告后迅速修復了該漏洞。修復程序已在Commvault 11.36.46、11.32.89、11.28.141和11.20.217版本中推出。

CISA建議企業立即應用補丁并采取額外緩解措施，包括監控和審查Microsoft Entra審計日志、Entra登錄和統一審計日志，實施條件訪問策略以限制單租戶應用內的身份驗證，以及輪換Commvault Metallic應用中的應用密鑰和憑證。

DoControl首席執行官Omri Weinberg將此事件與更廣泛的趨勢聯系起來。"攻擊者正從終端和基于網絡的攻擊轉向利用權限過大的SaaS環境和配置錯誤的云應用，"Weinberg表示。"安全團隊需要像對待傳統基礎設施一樣嚴格對待SaaS——從強訪問治理開始，持續監控第三方應用集成，并通過最小權限訪問限制爆炸半徑。"

Commvault在5月的一份聲明中表示，內部調查未發現任何未經授權訪問客戶備份數據的情況，并預計該事件不會對Commvault的業務運營或其提供產品和服務的能力產生實質性影響。