突发!国家级黑客利用零日漏洞入侵Commvault Azure环境,数据安全再响警报
突发!国家级黑客利用零日漏洞入侵Commvault Azure环境,数据安全再响警报
原创 道玄安全 道玄网安驿站 2025-05-01 23:00
“
CVE-2025-3928。”
01
—
导语
近日,全球知名数据备份服务商Commvault证实,其Microsoft Azure环境遭到国家级黑客组织攻击。攻击者利用未公开的零日漏洞
CVE-2025-3928
,通过合法凭证渗透系统,并在服务器上部署Web Shell以获取控制权。尽管Commvault强调
客户备份数据未被窃取
,但此次事件暴露了企业云环境的高危风险。
一.漏洞详情与攻击链分析
- 漏洞本质
CVE-2025-3928是Commvault Web Server模块的一个未公开漏洞,允许
已认证的攻击者远程执行代码
,上传恶意脚本(如Web Shell),进而控制服务器。尽管需合法凭证且环境需暴露于互联网,但攻击者已成功利用其发起零日攻击。
-
攻击路径
-
初始入侵
:黑客通过窃取或社会工程获取合法用户凭证。 -
漏洞利用
:利用CVE-2025-3928部署Web Shell,建立持久化访问。 -
横向移动
:可能通过Web Shell窃取敏感数据或发起后续攻击(如勒索软件)。 -
关联恶意IP
Commvault公布了5个与攻击相关的IP地址,建议企业立即封锁并监控日志:
108.69.148.100
,
128.92.80.210
,
184.153.42.129
,
108.6.189.53
,
159.242.42.20
。
二.应对与修复建议
-
紧急措施
-
立即更新
:升级至Commvault修复版本(Windows/Linux平台版本11.36.46、11.32.89等)。 -
封锁IP
:在Azure条件访问策略中屏蔽恶意IP,并监控登录日志。 -
凭证轮换
:强制重置所有相关账户密码,并同步Azure与Commvault的客户端密钥。 -
长期防御
-
最小化暴露
:限制云环境的互联网暴露面,启用多因素认证(MFA)。 -
纵深防御
:结合AI驱动的威胁检测(如Commvault的Threat Scan功能)与网络隔离策略,提升攻击门槛。 -
监管要求
美国CISA已将该漏洞列入
“已知被利用漏洞”目录
,要求联邦机构在
5月19日前完成修复
。企业无论是否受监管,均需参照此时间线行动。
三.零日漏洞:为何成为国家级黑客的“核武器”?
零日漏洞因其
未被公开、无补丁可用
的特性,成为APT组织和高阶攻击者的首选工具。此次事件中,CVE-2025-3928的利用成本高昂,凸显其战略价值。
– 防御难点
:传统防火墙难以检测,攻击窗口期可长达数年。
- 市场黑产
:零日漏洞交易暗网价格可达数百万美元,加剧安全威胁。
四.专家观点:备份系统为何成为靶心?
数据备份平台存储着企业最核心的恢复能力,一旦被攻破,黑客可
删除备份
或
挟持数据索要赎金
。Commvault的快速响应(如凭证轮换、AI威胁检测)虽降低了风险,但事件仍警示:
“数据保护设施是网络战的战略高地,必须纳入最高级别安全防护。”
—— 某安全实验室发言人。
结语
此次攻击再次证明,云环境与供应链安全是数字时代的“阿喀琉斯之踵”。企业需摒弃“备份即安全”的误区,转向
主动防御
与
实时监控
。Commvault用户请立即行动,未雨绸缪远胜亡羊补牢!
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。