В середине апреля 2025 года специалисты по кибербезопасности забили тревогу из-за обнаружения критической уязвимости в популярном программном обеспечении Commvault Command Center. Уязвимость, получившая идентификатор CVE-2025-34028 и высочайший рейтинг опасности 9.0 из 10.0 по шкале CVSS, позволяет злоумышленникам выполнять код удаленно без необходимости аутентификации.
Проблема была выявлена исследователем Сонни Макдональдом из команды watchTowr Labs 7 апреля 2025 года, а официальное раскрытие информации произошло десять дней спустя, 17 апреля. Под угрозой оказались версии Commvault Command Center 11.38 Innovation Release, включая диапазон от 11.38.0 до 11.38.38.20, а также конкретная версия 11.38.25.
С технической точки зрения уязвимость классифицируется как предварительно аутентифицированная атака типа SSRF (Server-Side Request Forgery) и локализуется в конечной точке "deployWebpackage.do". Основная проблема заключается в отсутствии адекватной фильтрации коммуникаций с хостами, что открывает путь для эскалации привилегий до полного выполнения произвольного кода через специально сформированные ZIP-архивы, содержащие вредоносные.JSP файлы.
Механизм атаки состоит из нескольких последовательных шагов. Сначала злоумышленник выполняет SSRF через уязвимый эндпоинт /commandcenter/deployWebpackage.do. Затем экземпляр Commvault получает ZIP-файл с внешнего сервера, контролируемого атакующим. Содержимое этого архива автоматически распаковывается в директорию.tmp, которая оказывается под контролем злоумышленника. Далее, используя параметр servicePack, атакующий может осуществить обход каталогов и получить доступ к директории, доступной без аутентификации. Финальным этапом становится выполнение вредоносной оболочки из пути /reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp.
Команда watchTowr разработала специальный инструмент Detection Artefact Generator, позволяющий идентифицировать уязвимые экземпляры программного обеспечения в корпоративной инфраструктуре. Эксперты отмечают, что аналогичные уязвимости в программном обеспечении для резервного копирования, таком как Veeam и NAKIVO, уже активно эксплуатируются киберпреступниками.
Особую тревогу вызывает тот факт, что для эксплуатации уязвимости не требуется аутентификация, что делает атаку значительно более доступной и опасной. Злоумышленники могут получить полный контроль над системой без необходимости знать учетные данные или обходить механизмы защиты.
Учитывая критичность обнаруженной уязвимости и ее потенциальное влияние на безопасность корпоративных данных, организациям настоятельно рекомендуется немедленно применить доступные меры по смягчению рисков и установить все необходимые обновления безопасности, как только они будут выпущены производителем.
Данная ситуация еще раз подчеркивает важность регулярного аудита безопасности и своевременного обновления программного обеспечения, особенно систем, отвечающих за резервное копирование и восстановление критически важных данных организации.
Проблема была выявлена исследователем Сонни Макдональдом из команды watchTowr Labs 7 апреля 2025 года, а официальное раскрытие информации произошло десять дней спустя, 17 апреля. Под угрозой оказались версии Commvault Command Center 11.38 Innovation Release, включая диапазон от 11.38.0 до 11.38.38.20, а также конкретная версия 11.38.25.
С технической точки зрения уязвимость классифицируется как предварительно аутентифицированная атака типа SSRF (Server-Side Request Forgery) и локализуется в конечной точке "deployWebpackage.do". Основная проблема заключается в отсутствии адекватной фильтрации коммуникаций с хостами, что открывает путь для эскалации привилегий до полного выполнения произвольного кода через специально сформированные ZIP-архивы, содержащие вредоносные.JSP файлы.
Механизм атаки состоит из нескольких последовательных шагов. Сначала злоумышленник выполняет SSRF через уязвимый эндпоинт /commandcenter/deployWebpackage.do. Затем экземпляр Commvault получает ZIP-файл с внешнего сервера, контролируемого атакующим. Содержимое этого архива автоматически распаковывается в директорию.tmp, которая оказывается под контролем злоумышленника. Далее, используя параметр servicePack, атакующий может осуществить обход каталогов и получить доступ к директории, доступной без аутентификации. Финальным этапом становится выполнение вредоносной оболочки из пути /reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp.
Команда watchTowr разработала специальный инструмент Detection Artefact Generator, позволяющий идентифицировать уязвимые экземпляры программного обеспечения в корпоративной инфраструктуре. Эксперты отмечают, что аналогичные уязвимости в программном обеспечении для резервного копирования, таком как Veeam и NAKIVO, уже активно эксплуатируются киберпреступниками.
Особую тревогу вызывает тот факт, что для эксплуатации уязвимости не требуется аутентификация, что делает атаку значительно более доступной и опасной. Злоумышленники могут получить полный контроль над системой без необходимости знать учетные данные или обходить механизмы защиты.
Учитывая критичность обнаруженной уязвимости и ее потенциальное влияние на безопасность корпоративных данных, организациям настоятельно рекомендуется немедленно применить доступные меры по смягчению рисков и установить все необходимые обновления безопасности, как только они будут выпущены производителем.
Данная ситуация еще раз подчеркивает важность регулярного аудита безопасности и своевременного обновления программного обеспечения, особенно систем, отвечающих за резервное копирование и восстановление критически важных данных организации.