Microsoft Azure sob ataque | Vulnerabilidade no serviço de backup da Commvault expõe credenciais de clientes

Microsoft Azure sob ataque!

Vulnerabilidade no serviço de backup da Commvault expõe credenciais de clientes

O serviço online fornecido para fazer cópias de segurança de dados do Microsoft 365 na nuvem Azure está sob ataques cibernéticos direccionados as infra-estruturas SaaS.

A informação foi revelada pela Agência de Segurança Cibernética e Infra-estrutura dos Estados Unidos (CISA), que está a monitorar uma campanha maliciosa que pode ter permitido a cibercriminosos terem acesso não autorizado a segredos de aplicativos utilizados por clientes da Commvault.

O que aconteceu?

De acordo com a CISA, cibercriminosos exploraram falhas na configuração e segurança do ambiente Azure utilizado pela Commvault. A brecha permitiu o acesso não autorizado a segredos de aplicativos utilizados por clientes do serviço, ou seja, credenciais críticas usadas para autenticação automática e comunicação entre sistemas.

Esses agentes maliciosos conseguiram explorar uma vulnerabilidade de dia zero, identificada como CVE-2025-3928, que afetava o servidor web da Commvault. Essa falha possibilita que um invasor, mesmo com acesso limitado, execute códigos remotamente por meio da instalação de web shells, uma técnica frequentemente usada para manter o controle contínuo sobre servidores comprometidos.

Segundo os especialistas, trata-se de uma campanha de ataque sofisticada, com indícios de envolvimento de grupos patrocinados por Estados-nação, que visam extrair informações valiosas de infraestruturas corporativas críticas, com ênfase em ambientes mal configurados ou com permissões elevadas por padrão.

Quem foi afetado?

Embora a Commvault tenha garantido que os dados de backup armazenados não foram acessados, o risco permanece alto. Clientes com integrações entre o Commvault e o Microsoft 365, especialmente aqueles que utilizam configurações padrão, estão entre os mais vulneráveis, já que seus aplicativos podem ter sido expostos sem conhecimento prévio.

A campanha de ataque tem um foco específico em plataformas SaaS que operam em infraestruturas de nuvem como a Azure, e que utilizam entidades de serviço com permissões administrativas elevadas, prática comum mas extremamente arriscada quando não monitorada adequadamente.

O que foi feito até agora?

Após o alerta da Microsoft sobre atividades suspeitas em fevereiro de 2025, a Commvault iniciou uma investigação interna e adotou medidas de mitigação imediatas, como:

• Rotação de credenciais de todos os aplicativos afetados;
  
  
• Restrição de acessos externos às interfaces administrativas;
  
  
• Implementação de regras de firewall para bloquear uploads suspeitos e passagem de caminho (path traversal);
  
  
• Reforço da autenticação baseada em IPs autorizados.

Recomendações da CISA

A CISA divulgou uma série de recomendações para organizações que utilizam serviços SaaS na nuvem, a fim de evitar serem vítimas de campanhas semelhantes:

1. Auditoria de Logs: Monitorar o Microsoft Entra (Azure AD) e logs unificados de auditoria para identificar adições ou alterações não autorizadas em credenciais de aplicativos;
   
   
2. Restrições de IP: Para aplicativos de locatário único, limitar a autenticação de serviços a endereços IP de confiança;
   
   
3. Revisão de permissões: Avaliar o nível de acesso concedido a entidades de serviço com consentimento administrativo;
   
   
4. Firewall de Aplicações Web (WAF): Implementar proteções contra uploads suspeitos e injeções de código malicioso;
   
   
5. Remoção de acesso externo desnecessário: Especialmente em interfaces administrativas de serviços como a Commvault.