Кибератака на облачную инфраструктуру компании Commvault привела к несанкционированному доступу к данным клиентов, использующих резервное копирование Microsoft 365 через сервис Metallic. Об этом сообщило агентство CISA, указав на активность злоумышленников в облачной среде Microsoft Azure, передаёт Securitylab.
По данным агентства, атакующие могли получить доступ к конфиденциальным данным — в частности, к клиентским секретам, которые использовались для подключения к резервной копии Microsoft 365. Эти данные хранились в Azure-окружении Commvault и, вероятно, позволили злоумышленникам проникнуть во внутренние среды M365 ряда компаний-клиентов.
Компрометация затронула программное обеспечение Metallic — облачное решение Commvault, предоставляющее услуги по резервному копированию как сервис (SaaS). В агентстве отметили, что инцидент может быть частью масштабной кампании, направленной против поставщиков облачного ПО с уязвимыми конфигурациями и избыточными правами доступа по умолчанию.
Первоначальное уведомление о подозрительной активности поступило от Microsoft ещё в феврале 2025 года. Согласно отчёту самой Commvault, расследование показало, что государственная хакерская группировка использовала неизвестную ранее уязвимость в веб-сервере компании ( CVE-2025-3928 ). Уязвимость позволяла аутентифицированному удалённому пользователю запускать веб-оболочки на сервере.
Команда Commvault объяснила, что атакующие применяли продвинутые методы, чтобы получить доступ к конфиденциальным ключам авторизации, используемым клиентами для связи с M365. Хотя компания подчёркивает, что резервные копии данных не были затронуты, некоторая часть учётных данных могла быть скомпрометирована.
В ответ на инцидент Commvault провела ротацию всех учетных данных M365, а также усилила контроль за сервисами в облаке. Компания продолжает сотрудничать с государственными структурами и промышленными партнёрами для дальнейшего анализа ситуации.
Специалисты представили перечень мер по снижению рисков: