Lỗ hổng nghiêm trọng trong Commvault có thể dẫn tới chiếm quyền kiểm soát hệ thống

Thứ ba - 29/04/2025 16:40 10 0

Các nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong Commvault Command Center, có định danh là CVE-2025-34028. Lỗ hổng này ảnh hưởng đến các phiên bản từ 11.38.0 đến 11.38.19 trên cả hệ điều hành Windows và Linux, cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý trên hệ thống bị ảnh hưởng. Mức độ nghiêm trọng của lỗ hổng được đánh giá là 9.0 trên thang điểm CVSS, phản ánh mức độ rủi ro cao đối với các tổ chức sử dụng phần mềm này.

Commvault là công ty bảo mật cung cấp một loạt các công nghệ sao lưu, phục hồi, lưu trữ đám mây và các công nghệ liên quan cho hơn 100.000 khách hàng trên toàn thế giới. Các khách hàng lớn hơn của công ty bao gồm 3M, ADP, Deloitte, ING, Sony, Panasonic và Astra Zeneca. Commvault Command Center, nơi có lỗ hổng, là một giao diện dựa trên Web cho phép các tổ chức quản lý các tác vụ bảo vệ dữ liệu, sao lưu và phục hồi cho khối lượng công việc và dữ liệu của họ.

Các chuyên gia cho biết, lỗ hổng xuất phát từ điểm cuối deployWebpackage.do, nơi thiếu kiểm tra lọc máy chủ đầy đủ, dẫn đến khả năng tấn công SSRF (Server-Side Request Forgery) trước khi xác thực. Kẻ tấn công có thể lợi dụng điểm yếu này bằng cách sử dụng một tệp ZIP độc hại chứa tệp .JSP, từ đó thực thi mã từ xa trên hệ thống mục tiêu. Arctic Wolf

Commvault đã phát hành bản vá cho lỗ hổng này trong phiên bản 11.38.20 và 11.38.25. Tuy nhiên, các chuyên gia an ninh mạng khuyến cáo các tổ chức nên xác minh rằng hệ thống của họ đã được cập nhật tự động lên phiên bản mới nhất và đảm bảo rằng cơ chế cập nhật không bị chặn hoặc cấu hình sai.

Heath Renfrow, Giám đốc An ninh Thông tin tại Fenix24, nhấn mạnh: "Tất cả các tổ chức nên coi đây là một thay đổi khẩn cấp và ưu tiên khắc phục. Tạm thời hạn chế quyền truy cập Internet vào giao diện Command Center thông qua các quy tắc tường lửa hoặc kiểm soát truy cập cho đến khi bản vá được áp dụng và xác minh".

Hiện tại, chưa có báo cáo về việc lỗ hổng này bị khai thác trong thực tế. Tuy nhiên, với việc mã khai thác mẫu (PoC) đã được công bố công khai, nguy cơ bị tấn công trong tương lai gần là rất cao, đặc biệt từ các nhóm ransomware nhắm vào các hệ thống sao lưu và phục hồi dữ liệu.

Các chuyên gia đã khuyến nghị rằng người dùng cần phải cập nhật ngay phần mềm Commvault lên phiên bản 11.38.20 hoặc 11.38.25. Thường xuyên đảm bảo rằng hệ thống được cấu hình để nhận các bản cập nhật tự động và không bị chặn bởi tường lửa hoặc các thiết lập mạng khác. Trước hết người dùng nên tạm thời hạn chế quyền truy cập từ Internet vào giao diện Command Center cho đến khi xác minh bản vá đã được áp dụng thành công đồng thời theo dõi các nguồn tin cậy để cập nhật thông tin về các mối đe dọa và lỗ hổng mới.

Tác giả: Quốc Trường

Nguồn tin: Tạp chí An toàn thông tin

Tags: tấn công, bảo mật, lỗ hổng