Госхакеры, zero-day, утечки… Обычный день в облаках Microsoft
Специалисты бьют тревогу, а корпорации делают вид, что всё под контролем.
Платформа резервного копирования корпоративных данных Commvault сообщила о компрометации своей среды в Microsoft Azure, связанной с атакой, в которой использовалась ранее неизвестная уязвимость CVE-2025-3928 . Как заявила компания, инцидент был инициирован группой, действующей от имени государства, однако доказательств несанкционированного доступа к пользовательским данным на данный момент не выявлено.
О подозрительной активности представители Commvault узнали 20 февраля, когда получили уведомление от Microsoft. Атака была осуществлена с использованием уязвимости нулевого дня, позже получившей идентификатор CVE-2025-3928.
Впоследствии были оперативно обновлены скомпрометированные учётные данные и усилены меры безопасности. По словам Commvault, вторжение затронуло ограниченное количество клиентов, с которыми платформа работает совместно с Microsoft. Компания подчёркивает, что данные резервных копий остались в безопасности, а операционная деятельность и поставка услуг не пострадали.
Ранее уязвимость CVE-2025-3928 была включена Агентством по кибербезопасности и безопасности инфраструктуры США в реестр активно эксплуатируемых . Федеральным агентствам предписано устранить угрозу на серверах Commvault Web Server до 17 мая 2025 года.
Наряду с этим даны рекомендации по предотвращению подобных атак. Среди них — внедрение политики условного доступа ко всем зарегистрированным приложениям Microsoft 365, Dynamics 365 и Azure AD в рамках одного арендатора. Также предлагается регулярная синхронизация и ротация клиентских секретов между порталом Azure и Commvault не реже одного раза в 90 дней.
Кроме технических шагов, внимание уделено мониторингу активности входов. Пользователям предлагается отслеживать авторизации, исходящие с IP-адресов, не входящих в разрешённые диапазоны. Среди зафиксированных источников вредоносной активности указаны IP-адреса: 108[.]69[.]148[.]100, 128[.]92[.]80[.]210, 184[.]153[.]42[.]129, 108[.]6[.]189[.]53 и 159[.]242[.]42[.]20. Эти адреса рекомендуется немедленно блокировать в политике условного доступа, а попытки входа с них фиксировать и передавать в техническую поддержку Commvault для анализа.
В целом ситуация подчёркивает необходимость регулярного пересмотра настроек безопасности облачной инфраструктуры, особенно в контексте потенциально координируемых атак со стороны государств. Несмотря на ограниченный масштаб инцидента, его раскрытие стало дополнительным поводом для обновления практик защиты на всех уровнях корпоративных IT-систем.