Commvault, una delle principali piattaforme di backup dati aziendali, ha recentemente confermato di essere stata vittima di una violazione alla sicurezza all’interno del proprio ambiente Microsoft Azure. L’attacco è stato attribuito a un gruppo di minaccia sponsorizzato da uno stato nazionale, che ha sfruttato la vulnerabilità CVE-2025-3928 come zero-day. Nonostante la gravità della situazione, l’azienda ha sottolineato che non ci sono prove di accessi non autorizzati ai dati di backup dei clienti né impatti materiali sulle operazioni aziendali o sulla capacità di fornire servizi.

Comunicazione ufficiale e prime misure adottate

La comunicazione ufficiale di Commvault precisa che il numero di clienti coinvolti è limitato e che si sta collaborando attivamente con Microsoft per fornire supporto e assistenza agli utenti colpiti. Inoltre, Commvault ha già provveduto alla rotazione delle credenziali compromesse e al rafforzamento delle misure di sicurezza interne, al fine di contenere tempestivamente la minaccia.

Intervento di Microsoft e obblighi di sicurezza

A seguito della segnalazione da parte di Microsoft, avvenuta il 20 febbraio 2025 riguardo attività sospette sull’infrastruttura Azure, Commvault ha avviato una revisione completa dei sistemi e ha implementato ulteriori controlli di sicurezza. Parallelamente, la vulnerabilità CVE-2025-3928 è stata inserita nel catalogo delle Known Exploited Vulnerabilities (KEV) dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti. Di conseguenza, tutte le agenzie federali sono obbligate ad applicare le patch di sicurezza relative al Commvault Web Server entro il 19 maggio 2025.

Raccomandazioni di sicurezza per i clienti

Per ridurre il rischio di futuri attacchi, Commvault raccomanda ai propri clienti di implementare policy di Conditional Access su tutte le applicazioni registrate su Microsoft 365, Dynamics 365 e Azure AD. Ulteriori misure preventive suggerite includono la rotazione e la sincronizzazione dei secret client tra il portale Azure e Commvault ogni 90 giorni e il monitoraggio costante delle attività di accesso, con particolare attenzione a tentativi provenienti da indirizzi IP non autorizzati.

Indirizzi IP malevoli identificati

Sono stati identificati specifici indirizzi IP malevoli associati all’attacco, tra cui 108.69.148.100, 128.92.80.210, 184.153.42.129, 108.6.189.53 e 159.242.42.20. Tali indirizzi dovrebbero essere bloccati e monitorati nei log di accesso di Azure, segnalando tempestivamente qualsiasi tentativo di connessione sospetto al supporto Commvault per ulteriori analisi e interventi.

La gestione proattiva della vulnerabilità da parte di Commvault e la collaborazione con le autorità di sicurezza rappresentano oggi un modello di risposta efficace per incidenti che coinvolgono zero-day in ambienti cloud e infrastrutture critiche.