เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานด้านความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า Commvault กำลังเฝ้าระวังกิจกรรมภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายไปยังแอปพลิเคชันที่โฮสต์อยู่ในสภาพแวดล้อม Microsoft Azure ของบริษัท
CISA ระบุว่า “ผู้โจมตีอาจเข้าถึง Client Secrets สำหรับ Microsoft 365 (M365) backup software-as-a-service (SaaS) ของ Commvault (Metallic) ซึ่งโฮสต์อยู่ใน Azure”
“การกระทำดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อม M365 ของลูกค้า Commvault ที่ Commvault จัดเก็บความลับของแอปพลิเคชันได้โดยไม่ได้รับอนุญาต”
CISA ยังระบุเพิ่มเติมว่า พฤติกรรมนี้อาจเป็นส่วนหนึ่งของแคมเปญการโจมตีขนาดใหญ่ ที่มุ่งเป้าไปยังโครงสร้างพื้นฐานระบบคลาวด์ของผู้ให้บริการ software-as-a-service (SaaS) รายต่าง ๆ ที่มีการกำหนดค่าเริ่มต้น และสิทธิ์การเข้าถึงในระดับสูง
คำแนะนำดังกล่าวมีขึ้นเพียงไม่กี่สัปดาห์หลังจากที่ Commvault เปิดเผยว่า Microsoft ได้แจ้งเตือนให้บริษัททราบในเดือนกุมภาพันธ์ 2025 เกี่ยวกับกิจกรรมที่ไม่ได้รับอนุญาตโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ ภายใน Azure environment ของบริษัท
เหตุการณ์ดังกล่าวนำไปสู่การค้นพบว่า ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day (CVE-2025-3928) ซึ่งเป็นช่องโหว่ที่ยังไม่ได้รับการเปิดเผยรายละเอียดใน Commvault Web Server โดยช่องโหว่นี้ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนจากระยะไกล สามารถสร้าง และรัน Web Shells ได้
Commvault ระบุในประกาศว่า “ผู้เชี่ยวชาญในอุตสาหกรรมระบุว่า กลุ่มผู้โจมตีนี้ใช้เทคนิคที่ซับซ้อนในการพยายามเข้าถึงระบบ M365 ของลูกค้า โดยผู้โจมตีรายนี้อาจเข้าถึงข้อมูล credentials ของแอปบางส่วนที่ลูกค้าใช้สำหรับยืนยันตัวตนกับระบบ M365”
Commvault ระบุว่า บริษัทได้ดำเนินมาตรการแก้ไขหลายอย่าง รวมถึงการ rotating app credentials สำหรับ M365 โดยเน้นย้ำว่า ไม่มีข้อมูลสำรองของลูกค้าถูกเข้าถึงโดยไม่ได้รับอนุญาต
เพื่อลดความเสี่ยงจากภัยคุกคามลักษณะนี้ CISA แนะนำให้ผู้ใช้ และผู้ดูแลระบบดำเนินการตามแนวทางดังต่อไปนี้:
- ตรวจสอบ Entra audit logs เพื่อหาการแก้ไข หรือการเพิ่มข้อมูล credentials ที่ไม่ได้รับอนุญาตให้กับ service หลักที่เริ่มต้นโดยแอปพลิเคชัน หรือ service ของ Commvault
- ตรวจสอบ Microsoft log (Entra audit, การลงชื่อเข้าใช้ Entra และ unified audit logs) และดำเนินการค้นหาภัยคุกคามภายใน
- สำหรับแอปพลิเคชันแบบ Single Tenant ให้ตั้งค่า conditional access policy เพื่อจำกัดการ authentication ของ application service principal ให้เป็น IP Address ที่ได้รับอนุมัติซึ่งแสดงอยู่ในช่วง IP Address ที่ได้รับอนุญาตของ Commvault
- ตรวจสอบรายชื่อการลงทะเบียนแอปพลิเคชัน และ Service Principals ใน Entra ที่ได้รับสิทธิ์จากผู้ดูแลระบบว่ามีสิทธิ์สูงเกินความจำเป็นหรือไม่
- จำกัดการเข้าถึงระบบจัดการของ Commvault ให้สามารถเข้าถึงได้เฉพาะจากเครือข่ายที่เชื่อถือได้ และผู้ดูแลระบบ
- ตรวจจับ และบล็อกความพยายาม Path Traversal และการอัปโหลดไฟล์ต้องสงสัย โดยการติดตั้ง Web Application Firewall และปิดการเข้าถึงแอปพลิเคชัน Commvault จากภายนอก
CISA ซึ่งได้เพิ่มช่องโหว่ CVE-2025-3928 ไว้ใน Known Exploited Vulnerabilities Catalog ตั้งแต่ปลายเดือนเมษายน 2025 และระบุว่า ขณะนี้ยังคงร่วมมือกับองค์กรพันธมิตรในการสอบสวนกิจกรรมการโจมตีดังกล่าวอย่างต่อเนื่อง
ที่มา : thehackernews
You must be logged in to post a comment.