Falha Crítica no Commvault Command Center: Pesquisador Detalha Vulnerabilidade Corrigida que Permite Execução Remota de Código
Alerta de Segurança: Vulnerabilidade de Execução Remota de Código no Commvault Command Center
Pesquisadores de segurança da watchTowr identificaram uma vulnerabilidade crítica de execução remota de código (RCE) no software de backup e recuperação Commvault. A falha, rastreada como CVE-2025-34028, recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), indicando sua extrema gravidade. Essa vulnerabilidade permite que invasores não autenticados executem código arbitrário nos sistemas afetados, o que pode levar a um comprometimento completo do sistema.
Detalhes da Vulnerabilidade CVE-2025-34028 no Commvault
A vulnerabilidade reside especificamente no módulo Command Center do Commvault e afeta as versões 11.38.0 a 11.38.19 do Innovation Release, tanto em plataformas Linux quanto Windows. Outros componentes do sistema Commvault não são impactados por esta falha específica. A exploração bem-sucedida da vulnerabilidade pode resultar no comprometimento total do ambiente do Command Center.
A exploração da falha envolve uma Falsificação de Solicitação do Lado do Servidor (SSRF) que pode ser acionada antes da autenticação. Os pesquisadores descobriram que o endpoint pré-autenticado `/commandcenter/deployWebpackage.do` poderia ser manipulado para buscar um arquivo ZIP malicioso de um servidor controlado pelo invasor. Este arquivo ZIP conteria código JSP malicioso que, ao ser descompactado em um diretório acessível sem autenticação, permitiria ao invasor executar o código malicioso. Um padrão de exploração semelhante foi identificado em outro endpoint, `deployServiceCommcell.do`, que utiliza solicitações multipartes, potencialmente contornando restrições a solicitações HTTP externas.
Resposta da Commvault e Mitigação
A Commvault foi notificada sobre a vulnerabilidade em 7 de abril de 2025 e agiu rapidamente, liberando um patch em 10 de abril de 2025. As versões corrigidas são a 11.38.20 e 11.38.25 do Innovation Update. A empresa enfatizou que os sistemas na trilha do Innovation Release são atualizados automaticamente conforme programações predefinidas. No entanto, para organizações que não podem aplicar o patch imediatamente, a Commvault recomenda isolar as instâncias vulneráveis do Command Center do acesso à rede externa.
É crucial que as organizações que utilizam as versões afetadas do Commvault Command Center tomem medidas imediatas para aplicar as atualizações ou implementar as mitigações recomendadas. Heath Renfrow, CISO e cofundador da Fenix24, aconselhou as organizações a tratar o problema com urgência, priorizando a implementação da correção e restringindo temporariamente o acesso à interface do Command Center pela internet através de regras de firewall ou gerenciamento de acesso até que o patch seja aplicado e verificado. Ele também recomendou o monitoramento de solicitações de saída anormais para fontes ZIP desconhecidas, criação de arquivos em pastas temporárias ou acesso não autorizado ao caminho `/reports/MetricsUpload`.
Importância da Segurança em Soluções de Backup
Soluções de backup e replicação, como o Commvault, tornaram-se alvos primários para operadores de ransomware. Isso ocorre não apenas pelos dados valiosos que protegem, mas também porque, devido aos seus recursos de automação e integração, frequentemente armazenam credenciais de contas privilegiadas em ambientes inteiros. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a CVE-2025-34028 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, citando ataques ativos na prática e obrigando agências federais a aplicar correções.
Esta não é a primeira vez que a watchTowr descobre vulnerabilidades significativas em softwares de backup. Anteriormente, a empresa relatou falhas em plataformas da Veeam e NAKIVO, destacando a importância contínua da vigilância e correção proativa de vulnerabilidades em sistemas críticos.
