كشفت شركة Commvault عن وجود ثغرة أمنية حرجة في منتجها Command Center، تُمكّن المهاجمين من تنفيذ تعليمات برمجية عن بُعد (Remote Code Execution – RCE) دون الحاجة لأي نوع من المصادقة، ما يشكّل خطرًا كبيرًا على أمن الشبكات والبيانات.
تفاصيل الثغرة
-
الرمز التعريفي للثغرة (CVE): CVE-2025-34028
-
درجة الخطورة (CVSS): 9.0 من 10 (حرجة)
-
الإصدار المتأثر:
-
Commvault Innovation Release 11.38
-
من الإصدار 11.38.0 حتى 11.38.19
-
وأُعلن عن إصلاح الثغرة في الإصدارات التالية:
-
11.38.20
-
11.38.25
كيف تعمل الثغرة؟
اكتشف الباحث الأمني سوني ماكدونالد من مختبرات WatchTowr الثغرة بتاريخ 7 أبريل 2025، وأوضح في تقرير نشره أن الثغرة تقع في نقطة نهاية تدعى deployWebpackage.do، والتي تُستخدم داخل الواجهة الخلفية لـ Commvault.
-
تسمح هذه النقطة للمهاجمين بتنفيذ هجوم “تزوير الطلب من جهة الخادم” (SSRF) دون الحاجة إلى تسجيل الدخول.
-
السبب الرئيسي هو غياب آلية تصفية لمنع الاتصال بمضيفين غير موثوقين.
تسلسل الاستغلال التقني للثغرة
-
يرسل المهاجم طلب HTTP إلى المسار:
/commandcenter/deployWebpackage.do
مما يؤدي إلى تنزيل ملف مضغوط (ZIP) من خادم خارجي. -
يتم فك ضغط الملف تلقائيًا إلى مجلد مؤقت .
-
يستخدم المهاجم معلمة servicePack للتنقل داخل مجلد إلى مسار يواجه المستخدم، مثل:
-
يتم تنفيذ كود الـ SSRF باستخدام نفس النقطة.
-
يتم تشغيل الشيفرة الضارة من المسار:
/reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp
هذا التسلسل يُمكّن المهاجم من رفع ملف JSP خبيث وتنفيذه مباشرة على الخادم، مما يُتيح سيطرة كاملة على النظام المُستهدف.
أداة لكشف التعرض للثغرة
كشفت WatchTowr أيضًا عن أداة تحليل خاصة تُعرف باسم Detection Artefact Generator، تساعد المؤسسات على فحص أنظمتها ومعرفة ما إذا كانت مُعرّضة للاستغلال.
التوصيات الأمنية
مع تزايد الهجمات التي تستهدف أدوات النسخ الاحتياطي والتكرار مثل Veeam وNAKIVO، تؤكد هذه الثغرة على أهمية تطبيق التحديثات والتصحيحات الأمنية بشكل عاجل. يُنصح مسؤولو الأنظمة بالخطوات التالية:
-
تحديث Commvault إلى الإصدار 11.38.20 أو أحدث فورًا
-
التحقق من سجلات الخوادم بحثًا عن نشاط مريب متعلق بالمسار /deployWebpackage.do
-
تعطيل الوصول الخارجي غير المصرّح به إلى واجهة Command Center
