CISA alerta para campanha de ataques a SaaS explorando vulnerabilidade CVE-2025-3928 e misconfiguration no Azure

A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) emitiu, na quinta-feira, um alerta sobre atividades suspeitas de hackers direcionadas a aplicações hospedadas no ambiente de nuvem Microsoft Azure da Commvault, uma provedora de soluções de backup de software como serviço (SaaS). Segundo a agência, hackers podem ter obtido acesso não autorizado a segredos de aplicativos (app secrets) do software de backup Metallic para Microsoft 365 (M365), permitindo a invasão de ambientes M365 de clientes da Commvault que armazenam essas credenciais na plataforma. A CISA destacou que o incidente pode fazer parte de uma campanha mais ampla, com hackers explorando configurações padrão e permissões elevadas em infraestruturas de nuvem de diversos provedores SaaS.

O alerta surge após a Commvault revelar, em fevereiro de 2025, que a Microsoft a notificou sobre atividades não autorizadas conduzidas por um hacker de estado-nação em seu ambiente Azure. A investigação identificou que os invasores exploraram uma vulnerabilidade de dia zero (CVE-2025-3928), uma falha não especificada no Servidor Web da Commvault que permite a um atacante remoto autenticado criar e executar web shells, scripts maliciosos que possibilitam o controle remoto de sistemas. A Commvault afirmou que os hackers, conhecidos por técnicas sofisticadas, acessaram um subconjunto de credenciais de aplicativos usadas por clientes para autenticar seus ambientes M365, mas garantiu que não houve acesso não autorizado aos dados de backup dos clientes.

Para conter a ameaça, a Commvault implementou medidas corretivas, como a rotação de credenciais de aplicativos para o M365, e está colaborando com a CISA e outras organizações para investigar o incidente. A CISA incluiu a vulnerabilidade CVE-2025-3928 em seu Catálogo de Vulnerabilidades Exploradas Conhecidas no final de abril de 2025, reforçando a gravidade do problema. Especialistas do setor apontam que os hackers de estado-nação por trás do ataque utilizam métodos avançados, como exploração de configurações padrão e permissões excessivas, para comprometer sistemas críticos, o que reforça a necessidade de configurações mais seguras em ambientes de nuvem.

A CISA emitiu uma série de recomendações para mitigar esses riscos, incluindo o monitoramento de logs de auditoria do Microsoft Entra para detectar modificações não autorizadas em credenciais de aplicativos, a revisão de logs de login e atividades unificadas, e a implementação de políticas de acesso condicional que restrinjam a autenticação de aplicativos a endereços IP aprovados pela Commvault. Além disso, a agência aconselha restringir o acesso às interfaces de gerenciamento da Commvault a redes confiáveis, implementar firewalls de aplicativos web para bloquear tentativas de ataques de travessia de caminhos (path-traversal) e uploads de arquivos suspeitos, e revisar registros de aplicativos e principais de serviço no Entra que possuam permissões administrativas desnecessárias.

O incidente destaca a crescente sofisticação dos ataques cibernéticos contra provedores SaaS, que se tornaram alvos prioritários devido à ampla adoção de soluções baseadas em nuvem. A CISA alertou que a campanha pode não se limitar à Commvault, mas atingir outros provedores SaaS que utilizam infraestruturas de nuvem com configurações vulneráveis. A colaboração entre a CISA, a Commvault e parceiros do setor, como a Microsoft, é essencial para identificar e neutralizar essas ameaças, mas especialistas reforçam que as organizações devem adotar medidas proativas de segurança para proteger seus ambientes de nuvem contra hackers que exploram falhas de configuração e vulnerabilidades recém-descobertas.

Via - THN