Tổng quan về lỗ hổng:
Commvault đã phát hành một bản cập nhật khẩn cấp cho một lỗ hổng có mức độ nghiêm trọng cao trong thành phần webserver của mình. Lỗ hổng này ảnh hưởng đến nhiều phiên bản phần mềm Commvault trên cả nền tảng Linux và Windows, có khả năng cho phép các tác nhân đe dọa tiêm và thực thi các webshell độc hại, từ đó cấp quyền kiểm soát từ xa liên tục đối với các hệ thống bị xâm phạm.
Cơ chế khai thác:
Lỗ hổng nằm trong lớp webserver do việc xác thực đầu vào không đúng cách. Những kẻ tấn công có thể tạo ra các yêu cầu POST HTTP để tiêm và thực thi mã tùy ý, bao gồm các webshell ẩn danh bằng cách sử dụng cơ chế tải tệp bị xâm phạm hoặc các kỹ thuật tiêm.
Ảnh hưởng đến bảo mật:
Lỗ hổng này cho phép truy cập trái phép và rò rỉ dữ liệu, có khả năng gây ra các cuộc tấn công hệ thống trên nhiều môi trường khác nhau. Nó cũng cho phép các kẻ tấn công duy trì tình trạng ẩn nấp và kiên định, tránh khỏi các hệ thống phát hiện điểm cuối truyền thống.
Các phiên bản bị ảnh hưởng và triệt để cập nhật:
Lỗi này ảnh hưởng đến tất cả các phiên bản Commvault được hỗ trợ từ 11.20 đến 11.36. Commvault đã phát hành các phiên bản sửa lỗi ban đầu vào ngày 4 tháng 3 năm 2025, tiếp theo là các bản sửa lỗi bổ sung vào ngày 7 tháng 3 để tăng cường bảo mật cho webserver. Các tổ chức được khuyến cáo cập nhật các thành phần CommServe và Web Server ngay lập tức để giảm thiểu nguy cơ bị khai thác.
Giảm thiểu và hành động được khuyến nghị:
Commvault đã yêu cầu cài đặt ngay các bản phát hành bảo trì thông qua tiện ích “Cập nhật phần mềm theo yêu cầu” của nó. Các nhóm bảo mật được khuyên nên:
- Ứng dụng bản vá: Xác minh các phiên bản phần mềm hiện tại bằng cách sử dụng cmdlet PowerShell
Get-CommVaultVersion, tải các bản vá từ kho lưu trữ an toàn của Commvault bằng cách sử dụng các giao thức TLS 1.2+, và triển khai các bản cập nhật trong các khoảng thời gian bảo trì đã lên lịch. - Tăng cường bảo mật mạng: Thực thi phân đoạn mạng và đặt ra các quy tắc tường lửa chặt chẽ cho các cổng web của Commvault (ví dụ: TCP/80, TCP/443). Theo dõi các bản ghi kiểm toán để phát hiện các yêu cầu POST bất thường đến
/webconsole/APIhoặc các tệp*.jspxbất ngờ được tạo ra. - Giám sát chủ động: Quét mạng để tìm các phiên bản chưa được vá bằng các kịch bản kiểm tra phiên bản, theo dõi các chỉ số của sự xâm phạm (IOC) như sự xuất hiện bất ngờ của
cmd.exehoặc các kết nối đến các địa chỉ IP nghi ngờ, và xem xét các tích hợp bên thứ ba dựa vào APIs của Commvault để đảm bảo không bị lộ.
Lỗ hổng này nhấn mạnh tầm quan trọng hàng đầu của việc xác thực đầu vào chắc chắn và chu trình cập nhật thường xuyên trong phần mềm doanh nghiệp, nhấn mạnh sự cần thiết cho các tổ chức ưu tiên việc triển khai ngay các bản cập nhật này và xem xét chiến lược bảo mật tổng thể của họ để bảo vệ chống lại các cuộc tấn công dựa trên webshell ẩn danh.
