Détection de CVE-2025-34028 : Une vulnérabilité de gravité maximale dans le Commvault Command Center permet l’exécution de code à distance (RCE)
Table des matières :
Suite à la CVE-2025-30406 divulgation, une RCE faille dans les plateformes largement utilisées Gladinet CentreStack et Triofox, une autre vulnérabilité hautement critique qui pourrait également permettre l’exécution à distance de code arbitraire sans authentification, fait son apparition. La faille, suivie sous le nom CVE-2025-34028, a été récemment découverte dans l’installation du Command Center, ce qui pourrait mener à une prise de contrôle complète du système.
Détecter les tentatives d’exploitation de CVE-2025-34028
L’année dernière, une moyenne de 115 vulnérabilités ont été divulguées chaque jour—et 2025 est déjà en voie de dépasser ce rythme, avec 15 423 CVE identifiés jusqu’à présent. Pour atténuer efficacement les risques, les équipes de sécurité doivent se concentrer sur des stratégies d’identification précoce et de réponse rapide qui dépassent les menaces émergentes exploitant les vulnérabilités nouvellement divulguées.
Inscrivez-vous à la plateforme SOC Prime et accédez à un ensemble de règles Sigma sélectionnées traitant des tentatives d’exploitation de CVE-2025-34028 ainsi qu’à une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée, et la détection avancée des menaces. Il suffit de cliquer sur le Explorer les détections ci-dessous pour accéder immédiatement à une pile de détections pertinente.
Toutes les règles sont compatibles avec plusieurs technologies SIEM, EDR et Data Lake, et sont cartographiées à MITRE ATT&CK® pour simplifier l’enquête sur les menaces. De plus, chaque règle est enrichie de métadonnées exhaustives, y compris CTI références, chronologies des attaques, configurations d’audit, recommandations de triage, et plus encore.
Les cyberdéfenseurs à la recherche de contenu plus pertinent pour détecter les cyberattaques utilisant des vulnérabilités tendance peuvent accéder à l’ensemble de la collection des algorithmes de détection pertinents en recherchant dans le Threat Detection Marketplace avec l’étiquette «CVE».
Analyse de CVE-2025-34028
Commvault a récemment publié un avis de sécurité pour une vulnérabilité de gravité maximale dans son Command Center notée 10.0 sur l’échelle CVSS. La faille, identifiée sous le nom CVE-2025-34028, affecte les versions 11.38.0 à 11.38.19 de la Release Innovation 11.38 et a été corrigée dans les versions 11.38.20 et 11.38.25.
Les chercheurs de watchTowr Labs qui ont identifié et signalé la vulnérabilité le 7 avril 2025, ont déclaré que les attaquants pourraient exploiter la faille pour obtenir un RCE sans authentification préalable. Plus précisément, la vulnérabilité réside dans le point de terminaison « deployWebpackage.do », ce qui permet un SSRF pré-authentifié en raison d’un manque de validation de l’hôte.
La chaîne d’infection commence par l’envoi d’une requête pour récupérer un fichier ZIP malveillant depuis un serveur externe. Le ZIP est ensuite décompressé dans un répertoire temporaire. En utilisant une traversée de chemin dans le paramètre servicePack, les attaquants déplacent les contenus vers un répertoire accessible sur le web. Enfin, les adversaires exécutent le fichier shell .jsp malveillant, obtenant un RCE, ce qui pourrait potentiellement entraîner une compromission complète du système. Les chercheurs de watchTowr Labs ont publié un générateur d’Artefact de Détection avec un PoC CVE-2025-34028 sur GitHub, qui fonctionne en téléchargeant une archive ZIP avec un fichier .jsp. Une fois téléchargé, ce dernier est extrait vers un répertoire accessible au public, et les informations sur l’utilisateur du système sont révélées dans la réponse. Cela peut aider les équipes de sécurité à évaluer si leur instance est affectée par le problème de sécurité et est sujette à l’exploitation.
Le fournisseur recommande des mises à jour immédiates comme mesures de mitigation pour CVE-2025-34028. Étant donné que la faille présente un risque sérieux pour les environnements affectés, une ultra-réactivité de la part des défenseurs est d’une valeur primordiale. En se basant sur la plateforme SOC Prime, les équipes de sécurité peuvent toujours rester en avance sur les menaces émergentes et se défendre de manière proactive contre diverses tentatives d’exploitation de CVE tout en construisant une posture de cybersécurité robuste.
