تفاصيل الهجوم على Commvault

• اكتشفت CISA أن المهاجمين قد يكونون قد حصلوا على أسرار عملاء تستخدمها حلول النسخ الاحتياطي السحابي Commvault Metallic لـ Microsoft 365.

• مكّنت هذه الأسرار المهاجمين من الوصول غير المصرح به إلى بيئات عملاء M365 الذين خزّنت بياناتهم عبر Commvault.

• يُشتبه في استغلال المهاجمين إعدادات افتراضية غير آمنة وصلاحيات مفرطة في بنى SaaS السحابية.

خلفية الحادث

• في فبراير 2025، أبلغت Microsoft شركة Commvault عن نشاط غير مصرح به من قبل جهة تابعة لدولة في بيئة Azure.

• تم استغلال ثغرة Zero-Day (CVE-2025-3928) في خادم Commvault لتنفيذ Web Shells عن بُعد.

• أكدت Commvault أن البيانات الاحتياطية للعملاء لم تُمس، لكن بعض بيانات اعتماد التطبيقات قد تكون تعرضت للاختراق.

إجراءات التخفيف الموصى بها من CISA

1. مراقبة سجلات Entra لاكتشاف التعديلات غير المصرح بها.

2. مراجعة سجلات Microsoft (Entra Audit، Sign-In، Unified Audit Logs).

3. تقييد الوصول عبر سياسات الوصول الشرطي (Conditional Access) للسماح فقط بعناوين IP معتمدة من Commvault.

4. مراجعة صلاحيات Application Registrations وService Principals في Entra.

5. حظر الوصول الخارجي إلى واجهات إدارة Commvault.

6. نشر جدار حماية تطبيقات الويب (WAF) لمنع هجمات Path Traversal.

تحذير عام لمستخدمي SaaS

حذرت CISA من أن الهجمات قد لا تقتصر على Commvault، داعية جميع مزودي SaaS إلى:

• تحديث الإعدادات الافتراضية

• تقليل الصلاحيات المفرطة

• تعزيز مراقبة السحابة