記事本文(要約)
アメリカのサイバーセキュリティ&インフラセキュリティ庁(CISA)は、CommvaultのMicrosoft Azureクラウド環境がサイバー脅威活動の標的となっていることを発表しました。脅威行為者がCommvaultのMicrosoft 365バックアップソフト(Metallic)のアプリケーションシークレットに不正アクセスした可能性があり、その結果、Commvaultの顧客のMicrosoft 365環境に対する無許可アクセスが発生しました。この活動は、SaaSプロバイダーのクラウドインフラを標的とするより広範なキャンペーンの一部と見られています。
脆弱性CVE-2025-3928は、Commvault Web Serverのゼロデイ脆弱性を突かれたもので、リモートの認証された攻撃者がウェブシェルを作成・実行可能な未特定の欠陥です。Commvaultは顧客のバックアップデータに無許可アクセスはないと強調していますが、影響を受けたアプリ資格情報のローテーションなど、いくつかの是正措置を実施しました。更に、CISAはセキュリティ向上のためのガイドラインを提供し、調査を続けています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 23 May 2025 10:46:00 +0530
Original URL: https://thehackernews.com/2025/05/cisa-warns-of-suspected-broader-saas.html
詳細な技術情報
以下に、提供された文章に基づいて重要なセキュリティ情報を分析し、日本語で説明します。
脆弱性の詳細
- CVE番号: CVE-2025-3928
- 脆弱性の仕組み: CommvaultのWebサーバーに存在するゼロデイ脆弱性で、リモートの認証済み攻撃者がウェブシェルを作成・実行できるという未公開の欠陥が含まれています。
- 攻撃手法: 攻撃者はこの脆弱性を悪用し、ウェブシェルを経由して様々な操作を行うことが可能になります。これには、クライアントの機密情報へのアクセスが含まれる可能性があります。
攻撃手法
- 攻撃者は、ユーザーや管理者として認証され、ウェブシェルを作成して実行することで、システムの制御を確立し、権限を拡張して情報にアクセスします。
- Sophisticatedな手法を用いて、特定の環境におけるアプリケーションの資格情報にアクセスし、顧客のM365環境を標的にすることがあります。
潜在的な影響
- Commvaultの顧客のM365環境への不正アクセスが可能になります。ただし、バックアップデータへの未承認のアクセスは確認されていません。
- 他のSaaSプロバイダーのクラウドインフラも攻撃キャンペーンの一部として標的になる可能性があります。
推奨される対策
- 監視とログの確認:
- Entra監査ログを確認し、Commvaultアプリケーションやサービスプリンシパルによる承認されていない資格情報の変更や追加を監視します。
- Microsoftのログ(Entra監査、Entraサインイン、統合監査ログ)をレビューし、内部的な脅威を検出します。
- アクセス制御:
- 単一テナントアプリのために、Commvaultの許可されたIPアドレス範囲内に限定したIPアドレスからのアプリケーションサービスプリンシパルの認証を制限する条件付きアクセスポリシーを実装します。
- 権限と登録のレビュー:
- Entra内のアプリケーション登録とサービスプリンシパルの一覧をレビューし、ビジネスニーズを超える高い権限の管理コンセントを持つものを確認します。
- ネットワーク制御:
- Commvaultの管理インターフェースへのアクセスを信頼できるネットワークおよび管理システムに制限します。
- セキュリティ対策の導入:
- パストラバーサルの試みや不審なファイルアップロードを検出・ブロックするために、Webアプリケーションファイアウォールをデプロイし、外部からのCommvaultアプリケーションへのアクセスを削除します。
CISAは、この脆弱性に対する調査をパートナー機関と協力して継続しています。
