CVE-2025-34028: Critical RCE Flaw in Commvault Command Center Scores CVSS 10
2024/04/24 SecurityOnline — Commvault が公開したのは、Command Center に影響を与える、深刻な脆弱性 CVE-2025-34028 (CVSS:10.0) に関する情報である。この脆弱性を悪用する未認証のリモート攻撃者は、任意のコード実行を達成し、システム全体でセキュリティ侵害を引き起こす可能性を手にする。公式アドバイザリには、「Command Center に重大なセキュリティ脆弱性が発見された。この脆弱性により、リモート攻撃者が、認証を必要とすることなく、任意のコード実行を引き起こす可能性がある」と記されている。
この脆弱性は、Linux/Windows プラットフォームで、バージョン 11.38.0〜11.38.19 を実行している、Commvault インストールに影響を及ぼす。幸いなことに、影響を受けるのは Command Center モジュールのみであり、システムの他のコンポーネントには影響が生じない。
アドバイザリには、「この脆弱性により、Command Center 環境に対してセキュリティ侵害が生じる可能性がある。ただし、幸いなことに、同じシステム内の他のインストールは、この脆弱性の影響を受けない」と記されている。
この脆弱性は、watchTowr のセキュリティ研究者により、適切に公開された。
すでに Commvault は、以下のイノベーション・アップデートをリリースし、この問題に対処している。
- 11.38.20 (2025年4月10日リリース)
- 11.38.25 (2025年4月10日リリース)
同社は、イノベーション・リリース・トラックのシステムは、事前に定義されたスケジュールに従い、自動的に更新されることを強調している。その上で、速やかなパッチ適用が不可能な組織に対しては、脆弱な Command Center インスタンスを、外部ネットワーク・アクセスから隔離することを推奨している。
アドバイザリには、「アップデートのインストールが不可能な場合は、Command Center インスタンスを。外部ネットワーク・アクセスから隔離してほしい」と記されている。
影響を受けるバージョンを使用している組織は、以下の対策を講じる必要がある:
- バージョン 11.38.20 以降への速やかなアップデート
- Command Centerインターフェイスのネットワーク露出を監査
- 緩和策としてのアクセス制限のためのセグメンテーション実装
この脆弱性の CVSS スコアは 10.0 であり、最も高いリスク・レベルを表している。したがって、機密性の高いバックアップ/データリカバリを管理する環境においては、速やかな対応が必要となる。
データ保護の要である Commvault Command Center に、CVSS スコアで最高の 10.0 と評価される、深刻な脆弱性が発見されました。すでに自動更新によって対応済みとのことですが、実際の現場では自動更新が無効化されているケースもあり得ます。データ・バックアップやリカバリ製品の脆弱性は、攻撃者にとって格好の標的となりやすいため、引き続き警戒が必要とのことです。よろしければ、以下の関連記事も、ご参照ください。
2024/11/08:Veeam VBR の 脆弱性:Frag ランサムウェアが悪用
2024/10/19:Veeam の CVE-2024-40711 が CISA KEV に登録
2024/10/10:Veeam の脆弱性を悪用:Akira/Fog ランサムウェア
2024/09/19:Veeam の脆弱性:Phobos ランサムウェアが悪用
2023/04/04:Veritas Backup:ALPHV/BlackCat が標的に
IoT OT Security News 
You must be logged in to post a comment.