Госхакеры использовали 0Day, чтобы проникнуть через Commvault в американские облака

Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Об этом сообщило агентство CISA, указав на активность злоумышленников в облачной среде Microsoft Azure.

По данным агентства, атакующие могли получить доступ к конфиденциальным данным — в частности, к клиентским секретам, которые использовались для подключения к резервной копии Microsoft 365. Эти данные хранились в Azure-окружении Commvault и, вероятно, позволили злоумышленникам проникнуть во внутренние среды M365 ряда компаний-клиентов.

Компрометация затронула программное обеспечение Metallic — облачное решение Commvault, предоставляющее услуги по резервному копированию как сервис (SaaS). В агентстве отметили, что инцидент может быть частью масштабной кампании, направленной против поставщиков облачного ПО с уязвимыми конфигурациями и избыточными правами доступа по умолчанию.

Первоначальное уведомление о подозрительной активности поступило от Microsoft ещё в феврале 2025 года. Согласно отчёту самой Commvault, расследование показало, что государственная хакерская группировка использовала неизвестную ранее уязвимость в веб-сервере компании ( CVE-2025-3928 ). Уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере.

Команда Commvault объяснила, что атакующие применяли продвинутые методы, чтобы получить доступ к конфиденциальным ключам авторизации, используемым клиентами для связи с M365. Хотя компания подчёркивает, что резервные копии данных не были затронуты, некоторая часть учётных данных могла быть скомпрометирована.

В ответ на инцидент Commvault провела ротацию всех учетных данных M365, а также усилила контроль за сервисами в облаке. Компания продолжает сотрудничать с государственными структурами и промышленными партнёрами для дальнейшего анализа ситуации.

Специалисты представили перечень мер по снижению рисков:

• отслеживание журналов аудита Entra на предмет несанкционированных изменений или добавлений учётных данных, связанных с приложениями Commvault;
• анализ журналов Microsoft (Entra audit, Entra sign-in, unified audit logs) и проведение внутренней охоты на угрозы;
• для однопользовательских приложений — реализация политик условного доступа, ограничивающих аутентификацию сервисных компонентов Commvault по IP-адресам из доверенного диапазона;
• проверка списка регистраций приложений и сервис-принципалов Entra с повышенными правами;
• ограничение доступа к интерфейсам управления Commvault только из доверенных сетей;
• настройка Web Application Firewall для блокировки попыток обхода путей и подозрительных загрузок файлов, а также удаление внешнего доступа к приложениям Commvault.

Данный инцидент подчёркивает важность защиты облачной инфраструктуры и необходимость своевременного реагирования на угрозы. Как показывают исследования, современные атаки на корпоративные системы становятся всё более изощрёнными, используя новые векторы для компрометации облачных сервисов.