CVE-2025-34028:Commvault 严重漏洞危及企业数据安全,备份系统成攻击目标

阅读量29577

发布时间 : 2025-04-27 09:50:53

x
译文声明

本文是翻译文章,文章原作者 Guru Baran,文章来源:cybersecuritynews

原文地址:https://cybersecuritynews.com/commvault-rce-vulnerability-2/

译文仅供参考,具体内容表达以及含义原文为准。

一个严重的预认证远程代码执行(RCE)漏洞影响着 Commvault 的备份与数据保护平台。

该漏洞编号为 CVE-2025-34028,攻击者可利用它在无需进行身份验证的情况下入侵企业备份系统,这有可能使企业最关键的数据面临风险。

该漏洞是在 Commvault 的 “创新版本” 11.38.0 至 11.38.19 版本中被发现的,目前已在 11.38.20 版本中得到修复。

严重的 Commvault 身份验证绕过漏洞

本月初,watchTowr Labs 的研究人员发现了这一漏洞,并开发出了概念验证性的攻击代码,目前该代码已被公开。

该漏洞存在于两个预认证端点:deployWebpackage.do 和 deployServiceCommcell.do,它们是 Commvault 网络管理界面的一部分。

根据应用程序的 authSkipRules.xml 配置文件的规定,这些端点无需进行身份验证。

研究人员解释称:“出于合理的原因,备份与复制解决方案已成为勒索软件操作者的主要攻击目标。如果企业能够简单地从备份中恢复数据,勒索软件就失去了威胁性,但如果备份数据也遭到了破坏,系统管理员又该怎么办呢?”

风险因素 详情
受影响产品 Commvault Command Center创新版本,11.38.0 至 11.38.19 版本
影响 预认证远程代码执行(RCE)
利用前提条件 无需身份验证。攻击者必须能够通过网络访问易受攻击的端点。无需用户交互。
CVSS 3.1 评分 10.0(严重)

Commvault 远程代码执行漏洞 —— 概念验证详情

攻击链条始于攻击者向易受攻击的端点发送一个 HTTP 请求:

这个请求会触发服务器端请求伪造(SSRF)漏洞,应用程序会从攻击者控制的服务器获取内容。攻击者可利用该漏洞:

1.迫使 Commvault 服务器从外部服务器下载一个 ZIP 文件;

2.通过 servicePack 参数使用路径遍历,将文件放置在无法访问的目录中;

3.将恶意 JSP 文件解压到可执行位置;

4.通过网络界面访问并执行恶意代码。

Commvault 将自身描述为 “数据保护或网络弹性解决方案”,被大型企业、托管服务提供商(MSP)和政府机构广泛使用。

发现该漏洞的研究人员强调,备份与复制解决方案的价值不仅在于它们所保护的数据。

由于其自动化和集成功能,这些解决方案通常会存储整个环境中特权账户的凭据。

鉴于备份解决方案在企业网络安全策略中,尤其是在抵御勒索软件威胁方面所起的关键作用,这一漏洞格外令人担忧。

安全团队还应检查其 Commvault 部署是否存在被入侵的迹象,因为现已公开的攻击代码可能会导致更多的攻击尝试。

运行受影响版本 Commvault 的企业应立即更新至 11.38.20 或更高版本,以降低这一风险。

 

本文翻译自cybersecuritynews 原文链接。如若转载请注明出处。
分享到:微信
+17赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66