Commvault Confirms Hackers Exploited CVE-2025-3928 as Zero-Day in Azure Breach
2025/05/01 TheHackerNews — エンタープライズ向けのデータ・バックアップ・プラットフォーム Commvault は、正体不明の国家レベルの脅威アクターが、脆弱性 CVE-2025-3928 を悪用して Microsoft Azure 環境に侵入したと認めたが、不正なデータ・アクセスの証拠はないと強調している。同社はアドバイザリのアップデートで、「この悪意の活動は、当社と Microsoft の少数のユーザーに影響を与えており、いまは、それらのユーザーに支援を提供しているところだ」と述べている。
さらに同社は、「重要なことは、Commvault が保管/保護している顧客のバックアップ・データへの不正アクセスはなく、また、当社の事業運営や製品/サービスの提供能力に重大な影響が生じていないことだ」と付け加えている。
2025年3月7日に発表したアドバイザリで Commvault は、「2月20日の時点で Microsoft から、Azure 環境内での不正な活動について通知を受け、脅威アクターが CVE-2025-3928 をゼロデイ脆弱性として悪用していたことを把握した。そのため、影響を受ける認証情報をローテーションし、セキュリティ対策を強化した」と述べていた。
米国の Cybersecurity and Infrastructure Security Agency (CISA) が、脆弱性 CVE-2025-3928 を KEV カタログに追加し、連邦文民行政機関 (FCEB) 機関に対して、2025年5月19日までに Commvault Web Server に対して、必要なパッチを適用することを義務付けている。それを受けるかたちで、この脆弱性の開示は行われている。
このような攻撃によるリスクを軽減するため、ユーザーに対して強く推奨されるのは、Microsoft 365/Dynamics 365/Azure AD single-tenant app における、すべてのレジストレーションに条件付きアクセス・ポリシーを適用し、Azure ポータルと Commvault 間におけるクライアント・シークレットを、90日ごとにローテーションして同期することだ。
さらに同社は、許可リストに登録されていない IP アドレスからのアクセス試行を検出するために、サインイン・アクティビティを監視するよう、ユーザーに強く求めている。現時点で、悪意のあるアクティビティに関連付けられていのは、以下の IP アドレスとなる:
- 108.69.148.100
- 128.92.80.210
- 184.153.42.129
- 108.6.189.53
- 159.242.42.20
Commvault は、「これらの IP アドレスを、条件付きアクセス・ポリシーで明示的にブロックし、また、Azure サイン・インログでも監視する必要がある。これらの IP からのアクセス試行が検出された場合には、詳細な分析と対応のために、直ちに Commvault サポートに対してインシデントを報告してほしい」と述べている。
データ保護を担うソリューションである Commvault の脆弱性を悪用した、ゼロデイ攻撃が確認されたとのことです。現時点では顧客のバックアップデータへの不正アクセスは確認されておらず、業務運用やサービス提供への重大な影響はないとのことですが、ご利用のチームは、十分にご注意ください。なお、この脆弱性に関する前回の記事は 2025/04/29 の「CISA KEV 警告 25/04/28:Active! Mail/Brocade Fabric OS/Commvault Web Server を登録」です。よろしければ、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.