Teil einer russischen Angriffskampagne Zero-Day-Schwachstelle in Commvaults Azure-App wird aktiv ausgenutzt

Anbieter zum Thema

FAST LTA GmbH

Der russische Geheimdienst nimmt gezielt westliche Unternehmen ins Visier. Wie die CISA berichtet, könnte eine Zero-Day-Schwachstelle in Metallic von Commvault ebenfalls Teil von Spionageaktivitäten sein.

Nachdem das BSI, die CISA sowie weitere Cybersicherheitsorganisationen aus der ganzen Welt vor Kurzem bereits ein Security Advisory veröffentlicht haben, warnt die CISA noch ganz explizit erneut: Der russische Geheimdienst GRU nimmt westliche Logistik- und Technologie­unternehmen ins Visier. Bereits in der ersten Warnung wurden die Techniken, Vorgehensweisen und Ziele der staatlich motivierten, russischen Hacker beleuchtet. Einen Tag, nachdem die internationalen Organisationen Handlungsempfehlungen für Unternehmen veröffentlicht haben, publizierte die CISA eine weitere Meldung, in der sie über eine mögliche Verbindung einer Commvault-Sicherheitslücke und den Spionage- und Sabotageangriffen russischer Cyberkrimineller informierte.

TTP-Analyse und Empfehlungen

BSI warnt vor russischem Geheimdienst

Sicherheitslücke in Metallic von Commvault

Wie Commvault schon Anfang März 2025 berichtete, habe Microsoft unautorisierte Aktivitäten in der SaaS-Anwendung Metallic bemerkt, die nativ auf Azure betrieben wird. Wie sich herausstellte, hatten Cyberkriminelle die Zero-Day-Sicherheitslücke CVE-2025-3928 ausgenutzt, die mit einem CVSS von 8.8 einen hohe Schweregrad hat. Ende April veröffentlichte der Datenmanagement-Spezialist ein Update, in dem der Hersteller darüber informierte, dass es sich bei den Angreifern um staatliche Akteure handle. Der CISA zufolge sei es den Akteuren möglicherweise gelungen, auf Client-Secrets der in Azure gehosteten Microsoft-365-Lösung Metallic zuzugreifen. So hätten sie sich unbefugten Zugriff auf die M365-Umgebungen von Commvault-Kunden verschaffen können, in denen Anwendungs­geheimnises des Herstellers gespeichert seien.

Alle unterstützten Versionen der Commvault-Software sind von CVE-2025-3928 betroffen und unbehandelt dem Risiko ausgesetzt, dass Angreifer Daten kompromittieren können. Die Versionen, die den Patch für die Schwachstelle enthalten, sind:

• 11.36.46

• 11.32.89

• 11.28.141

• 11.20.217

Wie die forensische Analyse des Vorfalls ergab, seien nur wenige Commvault-Kunden betroffen gewesen und auch der Geschäftsbetrieb des Unternehmens sei nicht beeinträchtigt gewesen. Commvault empfiehlt seinen Kunden, eine Conditional-Access-Richtlinie auf alle Registrierungen von Microsoft-365-, Dynamics-365- und Azure-AD-Einzelmandanten-Apps anzuwenden, um ihre Daten vor weiteren Angriffsversuchen zu schützen.

Zero-Trust in Microsoft 365 und Azure umsetzen

Conditional Access und Richtlinien für mehr Schutz in der Microsoft-Cloud

Zusammenhang mit russischen Cyberangriffen

Wie auch die Analysten von Microsoft, die die Zero-Day-Schwachstelle entdeckt und an Commvault gemeldet haben, geht die CISA davon aus, dass die Ausnutzung von CVE-2025-3928 Teil einer größeren Kampagne sein könnte, die auf Cloud-Anwendungen verschiedener SaaS-Unternehmen mit Standardkonfigurationen und erweiterten Berechtigungen abziele. Dies entspreche dem Muster von APT-Gruppen (Advanced Persistent Threat).

Benutzer und Administratoren gibt CISA folgende Empfehlungen zum Schutz ihrer Umgebungen und Daten an die Hand:

• Überwachen Sie die Entra-Audit-Protokolle auf unbefugte Änderungen oder Ergänzungen von Anmeldeinformationen für Dienstprinzipale, die von Commvault-Anwendungen/Dienstprinzipalen initiiert wurden.

• Überprüfen Sie Microsoft-Protokolle (Entra-Audit, Entra-Anmeldung, einheitliche Audit-Protokolle) und führen Sie eine interne Bedrohungssuche durch.

• Sofern Sie Single-Tenant-Anwendungen im Einsatz haben: Implementieren Sie eine Richtlinie für bedingten Zugriff, die die Authentifizierung eines Anwendungsdienstprinzipals auf eine genehmigte IP-Adresse beschränkt.

• Rotieren Sie ihre Anwendungsgeheimnisse und rotieren Sie die Anmeldeinformationen für Commvault Metallic-Anwendungen und -Dienstprinzipale. Kunden, die dazu in der Lage sind, sollten gegebenenfalls eine Richtlinie zur regelmäßigen Rotation der Anmeldeinformationen (mindestens alle 30 Tage) festlegen.

Teil der russischen Strategie

Hacker nehmen Rüstungslieferanten der Ukraine ins Visier

• Überprüfen Sie die Liste der Anwendungsregistrierungen und Dienstprinzipale in Entra mit administrativer Zustimmung für höhere Berechtigungen als für das Unternehmen erforderlich.

• Implementieren Sie die allgemeinen M365-Sicherheitsempfehlungen des CISA-Projekts „Secure Cloud Business Applications (SCuBA)“.

• Beschränken Sie den Zugriff auf die Commvault-Verwaltungsschnittstellen, soweit technisch möglich, auf vertrauenswürdige Netzwerke und Verwaltungssysteme.

• Erkennen und blockieren Sie Path-Traversal-Versuche und verdächtige Dateiuploads, indem Sie eine Web Application Firewall einsetzen und den externen Zugriff auf Commvault-Anwendungen unterbinden.

• Wenden Sie die bereitgestellten Patches an und befolgen Sie die folgenden Best Practices.

• Überwachen Sie insbesondere Aktivitäten aus unerwarteten Verzeichnissen, insbesondere aus über das Internet erreichbaren Pfaden.

Cyberkrieg und KMU

Auch kleine Unternehmen stehen im Visier staatlicher Angreifer

(ID:50434622)