La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta crítica a las organizaciones, informándoles sobre actividades cibernéticas maliciosas que están afectando las aplicaciones en la nube de Commvault (Software as a Service o SaaS) alojadas en Microsoft Azure.
Los atacantes han logrado obtener acceso a credenciales de clientes relacionadas con la solución de respaldo Metallic Microsoft 365 de Commvault. Este acceso no autorizado les ha permitido infiltrarse en los entornos de Microsoft 365 de los clientes, donde Commvault almacena los secretos de las aplicaciones.
Esta brecha de seguridad forma parte de una campaña más amplia que tiene como objetivo las aplicaciones en la nube de varias empresas SaaS. Estas aplicaciones a menudo presentan configuraciones predeterminadas y permisos elevados, lo que expone vulnerabilidades críticas en las infraestructuras de seguridad de la nube empresarial.
La campaña de ataque se centra en la explotación de CVE-2025-3928, una vulnerabilidad crítica de día cero en el servidor web Commvault que se descubrió inicialmente en febrero de 2025.
Commvault confirmó que un actor de amenazas desconocido de un estado-nación violó su entorno Microsoft Azure al explotar esta vulnerabilidad, que permite a atacantes remotos y autenticados crear y ejecutar webshells en los servidores web de Commvault afectados.
La vulnerabilidad afecta a múltiples versiones de Commvault, incluidas 11.36.0 a 11.36.45, 11.32.0 a 11.32.88, 11.28.0 a 11.28.140 y 11.20.0 a 11.20.216. Los parches están disponibles en las versiones 11.36.46, 11.32.89, 11.28.141 y 11.20.217, respectivamente.
CISA agregó CVE-2025-3928 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige a las agencias del Poder Ejecutivo Civil Federal aplicar los parches necesarios antes del 19 de mayo de 2025.
La explotación exitosa permitió a los actores de amenazas acceder a los secretos de los clientes de la aplicación Metallic de Commvault, que proporciona servicios de respaldo de Microsoft 365 a clientes empresariales.
Este acceso permitió la entrada no autorizada a los entornos M365 de los clientes donde Commvault almacena los secretos de las aplicaciones, lo que podría afectar a miles de organizaciones en todo el mundo.
Commvault ha identificado direcciones IP maliciosas específicas asociadas con el ataque: 108.69.148.100, 128.92.80.210, 184.153.42.129, 108.6.189.53 y 159.242.42.20.
Si bien Commvault sostiene que ningún dato de respaldo de los clientes se vio comprometido y que las operaciones comerciales no se ven afectadas, la violación demuestra un objetivo sofisticado de los proveedores de servicios en la nube para obtener acceso lateral a los entornos de los clientes.
CISA ha emitido una guía de mitigación integral que requiere que las organizaciones implementen múltiples controles de seguridad de inmediato. Las recomendaciones críticas incluyen:
- Supervisión de los registros de auditoría de Microsoft Entra para detectar modificaciones no autorizadas en las entidades de servicio
- Implementar políticas de acceso condicional que restringen la autenticación principal del servicio de aplicaciones a direcciones IP aprobadas dentro de los rangos permitidos de Commvault.
- Secretos de aplicación rotativos para aplicaciones metálicas y principios de servicio utilizados entre febrero y mayo de 2025.
Las organizaciones también deben revisar los registros de auditoría unificada, de inicio de sesión y de Entra mientras realizan una búsqueda de amenazas internas alineada con las políticas de respuesta a incidentes.
Para aplicaciones de un solo inquilino, se requiere una licencia Premium de Microsoft Entra Workload ID para aplicar políticas de acceso condicional a las entidades principales de servicio de la aplicación.
Adicionalmente, se recomienda implementar medidas de seguridad como la activación de firewalls de aplicaciones web para identificar intentos de elusión de rutas. Es crucial también restringir el acceso a las interfaces de administración de Commvault únicamente a redes de confianza y establecer políticas de rotación de credenciales cada 30 días.
La CISA subraya la importancia de aplicar las directrices generales de seguridad para M365, detalladas en el Proyecto Secure Cloud Business Applications (SCuBA), con el fin de fortalecer la postura de seguridad global en la nube.
