Новая серия атак на SaaS уже стартовала — и первой жертвой оказалась Commvault.
Хакерская атака на облачную инфраструктуру компании привела к несанкционированному доступу к данным клиентов, использующих Metallic — сервис для резервного копирования Microsoft 365. Как сообщили в CISA, злоумышленники были активны в облаке Microsoft Azure.
По информации агентства, хакеры могли получить доступ к конфиденциальным клиентским секретам, которые использовались для подключения к M365-резервным копиям. Эти данные, хранившиеся в Azure-окружении Commvault, вероятно, позволили им проникнуть во внутренние системы некоторых клиентов.
Атака была нацелена на SaaS-решение Metallic. В CISA считают, что этот инцидент может быть частью масштабной кампании против облачных поставщиков с уязвимыми конфигурациями и избыточными правами.
Microsoft впервые зафиксировала подозрительную активность ещё в феврале 2025 года. По итогам расследования Commvault установила, что использовалась неизвестная ранее уязвимость (CVE-2025-3928), позволявшая аутентифицированным удалённым пользователям запускать веб-оболочки на сервере.
Компания отметила, что хакеры применяли продвинутые методы, чтобы получить ключи авторизации клиентов. Хотя сами резервные копии не были повреждены, часть учётных данных могла утечь. В ответ Commvault провела ротацию M365-ключей и усилила меры безопасности, продолжая работу с госорганами и партнёрами.
Среди рекомендованных шагов: аудит журналов Entra и Microsoft, ограничение доступа по IP, проверка сервис-принципалов, настройка WAF и блокировка внешнего доступа.
Инцидент подчёркивает важность защиты облачной инфраструктуры и необходимости быстрого реагирования на всё более сложные киберугрозы.
Хакерская атака на облачную инфраструктуру компании привела к несанкционированному доступу к данным клиентов, использующих Metallic — сервис для резервного копирования Microsoft 365. Как сообщили в CISA, злоумышленники были активны в облаке Microsoft Azure.
По информации агентства, хакеры могли получить доступ к конфиденциальным клиентским секретам, которые использовались для подключения к M365-резервным копиям. Эти данные, хранившиеся в Azure-окружении Commvault, вероятно, позволили им проникнуть во внутренние системы некоторых клиентов.
Атака была нацелена на SaaS-решение Metallic. В CISA считают, что этот инцидент может быть частью масштабной кампании против облачных поставщиков с уязвимыми конфигурациями и избыточными правами.
Microsoft впервые зафиксировала подозрительную активность ещё в феврале 2025 года. По итогам расследования Commvault установила, что использовалась неизвестная ранее уязвимость (CVE-2025-3928), позволявшая аутентифицированным удалённым пользователям запускать веб-оболочки на сервере.
Компания отметила, что хакеры применяли продвинутые методы, чтобы получить ключи авторизации клиентов. Хотя сами резервные копии не были повреждены, часть учётных данных могла утечь. В ответ Commvault провела ротацию M365-ключей и усилила меры безопасности, продолжая работу с госорганами и партнёрами.
Среди рекомендованных шагов: аудит журналов Entra и Microsoft, ограничение доступа по IP, проверка сервис-принципалов, настройка WAF и блокировка внешнего доступа.
Инцидент подчёркивает важность защиты облачной инфраструктуры и необходимости быстрого реагирования на всё более сложные киберугрозы.
