Beveiligingsonderzoekers maken zich zorgen over een ernstige bug in bepaalde versies van Commvaults Command Center. Deze kwetsbaarheid stelt een niet-geauthenticeerde, externe aanvaller in staat om willekeurige code uit te voeren op getroffen systemen.
De kwetsbaarheid, aangeduid als CVE-2025-34028, treft versies 11.38.0 tot en met 11.38.19 van Commvault op zowel Windows als Linux. Commvault loste het probleem op in versie 11.38.20. Die zou automatisch op getroffen systemen moeten worden geïnstalleerd zonder handmatige tussenkomst.
Deskundigen benadrukken echter dat organisaties moeten controleren of hun systemen juist zijn ingesteld om deze automatische updates te ontvangen. En of versie 11.38.20 ook daadwerkelijk op de systemen draait. Zij geven aan dat de Commvault-omgeving correct moet zijn verbonden met het updatesysteem. En de configuratie mag updates niet blokkeren.
Heath Renfrow, Chief Information Security Officer en medeoprichter van Fenix24, liet in een e-mail aan Dark Reading weten dat alle organisaties dit probleem als een spoedzaak moeten behandelen. Ook is het noodzakelijke dat ze prioriteit geven aan het doorvoeren van de oplossing. Hij stelt dat organisaties tijdelijk de internettoegang tot de Command Center-interface zouden moeten beperken via firewallregels of toegangsbeheer. Dit, totdat de patch is toegepast en gecontroleerd.
Abnormale uitgaande verzoeken monitoren
Renfrow riep ook op tot monitoring van abnormale uitgaande verzoeken naar onbekende ZIP-bronnen, bestandsaanmaak in tijdelijke mappen of ongeautoriseerde toegang tot het pad /reports/MetricsUpload. Hij adviseerde verder om applicaties te isoleren. En om beheersinterfaces te segmenteren en alle interacties met Command Center te loggen.
Een onderzoeker van watchTowr ontdekte de kwetsbaarheid. Hij meldde die op 7 april aan Commvault. Volgens een blogpost van watchTowr gaat het om een eenvoudige Server-Side Request Forgery (SSRF) die voorafgaand aan authenticatie kan worden misbruikt. Er is geen filter aanwezig die beperkt met welke hosts de server contact mag maken.
SSRF stelt een aanvaller in staat om een serverapplicatie ongewenste verzoeken te laten sturen naar interne of externe systemen. Dit is de tweede ernstige kwetsbaarheid die watchTowr recent aantrof in back-upsoftware. Eerder dit jaar meldde het een niet-geauthenticeerde file-read kwetsbaarheid in technologie van Nakivo.
Commvault gaf aan dat een aanvaller die CVE-2025-34028 misbruikt volledige controle over de Command Center-omgeving kan krijgen. Het bedrijf stelde dat de kwetsbaarheid enkel de 11.38 Innovation Release betreft en is opgelost in versies 11.38.20 en 11.38.25. Mocht installatie van de update niet mogelijk zijn, dan moet de Command Center-installatie van externe netwerken worden geïsoleerd. De update werd op 17 april uitgebracht, terwijl watchTowr de kwetsbaarheid deze week officieel openbaar maakte.
WatchTowr ontwikkelde een proof-of-concept exploit om te laten zien hoe een aanvaller de kwetsbaarheid zou kunnen misbruiken. Daarbij wordt een HTTP-verzoek gestuurd naar een kwetsbare Command Center-instantie, die vervolgens een ZIP-bestand met een malafide bestand — in dit geval een webshell — ophaalt van een externe server en deze activeert.
Direct toegangspunt voor aanvallers
Kwetsbaarheden in software zoals die van Commvault zijn extra zorgwekkend omdat deze toepassingen vaak zijn ingebed in de kern van de IT-infrastructuur van organisaties, met toegang tot een breed scala aan bedrijfsmiddelen. Omdat deze systemen ontworpen zijn om te communiceren met kritieke systemen, gevoelige gegevens en back-upomgevingen, vormen ze een direct toegangspunt voor aanvallers die een succesvolle exploit weten uit te voeren.
Eric Schwake, directeur cybersecuritystrategie bij Salt Security, stelde dat het risico van CVE-2025-34028 schuilt in de mogelijkheid tot uitvoering van externe code zonder voorafgaande authenticatie op systemen die vaak cruciaal zijn voor de gegevensbeschermingsstructuur van organisaties. Volgens hem zou een inbreuk kunnen leiden tot grootschalige datalekken, losgeldeisen voor versleutelde back-ups of volledige controle over herstelprocessen.
Renfrow gaf aan dat het ontbreken van authenticatie, de centrale rol van Commvault binnen enterprise-omgevingen, en de ketenaanval die watchTowr heeft ontwikkeld op basis van ZIP-bestanden, deze kwetsbaarheid bijzonder gevaarlijk maken. Hij merkte op dat dit een aanvaller feitelijk volledige servercontrole geeft, met mogelijk toegang tot of manipulatie van gevoelige back-upgegevens, of de mogelijkheid om dieper in de infrastructuur door te dringen.