La CISA, l'agenzia statunitense per la cybersicurezza, ha recentemente lanciato un allarme in merito a una campagna di attacchi informatici che coinvolge servizi SaaS e infrastrutture cloud, con particolare attenzione agli ambienti Microsoft Azure utilizzati da Commvault per offrire il backup di Microsoft 365. Secondo le informazioni diffuse, attori malevoli sono riusciti ad accedere in maniera non autorizzata ai segreti delle applicazioni, ovvero alle credenziali che permettono alle applicazioni di autenticarsi presso gli ambienti M365 dei clienti Commvault.

L’incidente e la vulnerabilità zero-day

L'incidente è stato rilevato dopo che Microsoft ha informato Commvault, nel febbraio 2025, di attività sospette riconducibili a un attore statale all’interno del proprio ambiente Azure. Gli accertamenti hanno portato alla scoperta che gli hacker stavano sfruttando una vulnerabilità zero-day (CVE-2025-3928) presente nel Web Server di Commvault, la quale permetteva a un utente autenticato di creare ed eseguire web shell da remoto. Questo tipo di vulnerabilità esponeva quindi l’infrastruttura cloud a rischi concreti di accesso non autorizzato.

Tecniche di attacco e risposte di Commvault

Stando agli esperti del settore, il gruppo criminale coinvolto si caratterizza per tecniche avanzate finalizzate a compromettere le credenziali delle applicazioni impiegate dai clienti per autenticarsi nei propri ambienti Microsoft 365. Commvault ha già adottato diverse azioni correttive, come la rotazione delle credenziali delle applicazioni, e ha ribadito che non risultano accessi non autorizzati ai dati di backup dei clienti.

Raccomandazioni operative della CISA

CISA ha sottolineato che questa campagna potrebbe essere solo una parte di un attacco più ampio rivolto a vari provider SaaS, sfruttando configurazioni di default e permessi eccessivi tipici delle infrastrutture cloud moderne. Tra le raccomandazioni operative fornite da CISA troviamo:

• Monitoraggio dei log di audit Entra per individuare modifiche non autorizzate ai service principal
• Revisione delle policy di accesso condizionale per le applicazioni single tenant
• Restrizione degli accessi alle interfacce di gestione Commvault solo a reti fidate
• Implementazione di Web Application Firewall per bloccare upload sospetti e tentativi di path traversal
• Riduzione dei privilegi amministrativi rispetto alle reali esigenze operative

Impatto e importanza della sicurezza cloud

CISA ha aggiunto la vulnerabilità CVE-2025-3928 nel proprio catalogo delle vulnerabilità sfruttate attivamente e continua a collaborare con i partner per indagare sull’attività malevola. Questa vicenda evidenzia come la sicurezza cloud e la gestione dei segreti applicativi siano sempre più cruciali per le aziende che adottano soluzioni SaaS.