A Commvault publicou indicadores de comprometimento (IoCs) e orientações de mitigação após a exploração de uma falha zero-day em seu ambiente Azure. A vulnerabilidade, registrada como CVE-2025-3928 e com pontuação CVSS de 8,7, permite a criação e execução remota de webshells, resultando no comprometimento total de sistemas afetados.
Leia também
Holanda alerta para ataques russos à Europa
Plataforma de phishing usava 42 mil domínios
A falha afeta versões 11.x do software Commvault anteriores às atualizações 11.36.46, 11.32.89, 11.28.141 e 11.20.217. Embora a CISA tenha incluído a CVE no catálogo KEV apenas esta semana, a Commvault afirma que a falha foi explorada antes do conhecimento público. A Microsoft notificou a empresa em 20 de fevereiro de 2025 sobre atividades suspeitas, e uma análise forense confirmou que um agente estatal explorou a falha.
A Commvault informou que os dados de backup de seus clientes não foram comprometidos e que o incidente não teve impacto material nas operações. Em nova atualização publicada em 29 de abril, a empresa reconheceu que um pequeno número de clientes foi afetado e que está cooperando com a Microsoft na mitigação do caso.
A empresa compartilhou cinco endereços IP utilizados nos ataques e orienta os clientes a bloqueá-los e monitorar os logs de login do Azure. Também recomenda rotacionar segredos entre Azure e Commvault a cada 90 dias e aplicar políticas de acesso condicional ao Microsoft 365, Dynamics 365 e Azure AD.
A Commvault afirma ter notificado as autoridades sobre o incidente e implementado medidas adicionais de segurança para monitoramento e controle de acesso.
