25/04/25
Команда безопасности корпоративной платформы для резервного копирования Commvault предупредила о критической уязвимости в интерфейсе управления Command Center, которая позволяет удалённому злоумышленнику выполнить произвольный код без предварительной аутентификации. Проблема получила идентификатор CVE-2025-34028 и оценку 10 баллов по шкале CVSS, что делает её одной из наиболее опасных за последнее время, пишет Securitylab.
Уязвимость затрагивает релиз Commvault 11.38 Innovation Release в диапазоне версий от 11.38.0 до 11.38.19. Разработчики выпустили обновления, устраняющие проблему в версиях 11.38.20 и 11.38.25. Ошибка была обнаружена исследователем Сонни Макдональдом из watchTowr Labs, который сообщил о ней 7 апреля 2025 года.
Суть проблемы заключается в обработке запроса к внутреннему ресурсу deployWebpackage.do, который не фильтрует адреса конечных узлов. Это позволяет провести атаку типа SSRF — серверный поддельный запрос — даже без входа в систему. В уязвимом механизме отсутствуют ограничения на подключение к внешним хостам, что создаёт риск загрузки вредоносного архива.
Злоумышленник может отправить специально сформированный HTTP-запрос, инициирующий загрузку ZIP-архива с внешнего сервера. Содержимое архива распаковывается во временный каталог, после чего с помощью параметра servicePack атакующий добивается перемещения файлов в уязвимую директорию сервера. Финальным шагом становится вызов вредоносного .jsp-скрипта, находящегося в заранее подготовленном пути, что обеспечивает полный контроль над системой.
Для выявления следов эксплуатации watchTowr выпустила специальный генератор артефактов, с помощью которого организации могут проверить свои инсталляции на наличие признаков атаки. Такой подход может помочь своевременно отреагировать на инцидент и минимизировать ущерб.
В свете недавних атак на аналогичные решения, включая программное обеспечение для резервного копирования Veeam и NAKIVO, специалисты подчёркивают важность срочного обновления уязвимых экземпляров Commvault. Подобные системы традиционно содержат конфиденциальную информацию и служат точкой доступа к критичной инфраструктуре, что делает их приоритетной целью для злоумышленников.
