Обновись или проиграешь: две критические уязвимости угрожают дата-центрам

Федеральное агентство по кибербезопасности США (CISA) включило в реестр активно эксплуатируемых уязвимостей две новые критические ошибки, затрагивающие инфраструктуру хранения данных Broadcom Brocade Fabric OS и серверное программное обеспечение Commvault. Согласно заявлению, обе уязвимости уже используются в реальных атаках.

Первая проблема, обозначенная как CVE-2025-1976 , затрагивает систему Broadcom Brocade Fabric OS — это платформа, используемая в дата-центрах для управления сетями хранения данных. Уязвимость получила высокую оценку опасности (8.6 балла по шкале CVSS) и позволяет локальному администратору исполнять произвольный код с правами root.

Причиной проблемы стал недостаточный контроль IP-адресов, что даёт возможность злоумышленнику выполнять любые команды системы или даже встраивать собственный код в операционную систему Fabric OS. Проблема затрагивает версии с 9.1.0 по 9.1.1d6 и была исправлена в обновлении 9.1.1d7, выпущенном 17 апреля 2025 года.

Второй инцидент касается серверов Commvault — решения, широко применяемого для резервного копирования и восстановления данных. Уязвимость CVE-2025-3928 получила оценку 8.7 и позволяет удалённому, но уже аутентифицированному пользователю создавать и запускать веб-оболочки на сервере. Хотя атака невозможна без логина и пароля, существует риск, если злоумышленник уже получил доступ к системе через другой канал или если инфраструктура доступна извне. Проблема касается как Linux, так и Windows-установок Commvault, включая версии:

• 11.36.0 — 11.36.45 (исправлено в 11.36.46);
• 11.32.0 — 11.32.88 (исправлено в 11.32.89);
• 11.28.0 — 11.28.140 (исправлено в 11.28.141);
• 11.20.0 — 11.20.216 (исправлено в 11.20.217).

Commvault признала, что для успешной атаки необходимо, чтобы сервис был доступен из интернета, уже скомпрометирован другим способом, а атакующий обладал валидными учётными данными.

Несмотря на подтверждение факта эксплуатации обеих уязвимостей, ни CISA, ни разработчики не раскрыли деталей атак: ни масштаба, ни способов реализации, ни группировок, стоящих за инцидентами.

Федеральным агентствам США предписано установить обновления для Commvault до 17 мая 2025 года, а для Broadcom Brocade Fabric OS — до 19 мая. Это требование направлено на предотвращение дальнейшего распространения атак на критически важные инфраструктуры, особенно в условиях растущего давления на центры обработки данных и облачные решения.

Обе уязвимости подчёркивают, насколько опасны даже те векторы атак, которые требуют первоначального доступа — особенно когда речь идёт о высокоуровневых административных привилегиях. Нарушения цепочек доверия внутри корпоративных систем остаются одними из самых опасных направлений современных атак, а эксплуатация внутренних ошибок даёт злоумышленникам возможность скрытно контролировать ключевые элементы IT-инфраструктуры.