Rilevamento CVE-2025-34028: Una Vulnerabilità di Gravità Massima nel Commvault Command Center Consente RCE
Indice:
A seguito della CVE-2025-30406 divulgazione, una RCE vulnerabilità nelle piattaforme ampiamente utilizzate Gladinet CentreStack e Triofox, un’altra vulnerabilità altamente critica che potrebbe anche permettere l’esecuzione remota di codice arbitrario senza autenticazione, sta emergendo sulla scena. La vulnerabilità, tracciata come CVE-2025-34028, è stata recentemente scoperta nell’installazione del Command Center, che potrebbe portare a un completo controllo del sistema.
Rileva Tentativi di Sfruttamento di CVE-2025-34028
L’anno scorso ha visto una media di 115 vulnerabilità divulgate ogni giorno e il 2025 è già sulla buona strada per superare quel ritmo, con 15.423 CVE identificati finora. Per mitigare efficacemente i rischi, i team di sicurezza devono concentrarsi su strategie di identificazione precoce e risposta rapida che precedano le minacce emergenti che sfruttano le vulnerabilità di nuova divulgazione.
Registrati per la Piattaforma SOC Prime e accedi a un insieme di regole Sigma curate per affrontare i tentativi di sfruttamento di CVE-2025-34028 insieme a una suite completa di prodotti per l’ingegneria della rilevazione potenziata dall’AI, la caccia alle minacce automatizzata e la rilevazione avanzata delle minacce. Basta premere il Esplora Rilevazioni pulsante qui sotto per approfondire immediatamente uno stack di rilevazione pertinente.
Tutte le regole sono compatibili con più tecnologie SIEM, EDR e Data Lake e mappate su MITRE ATT&CK® per semplificare l’indagine sulle minacce. Inoltre, ogni regola è arricchita con un ampio metadata, compresi CTI riferimenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altro.
I difensori informatici che cercano contenuti più rilevanti per rilevare attacchi informatici che sfruttano vulnerabilità di tendenza possono accedere all’intera collezione degli algoritmi di rilevazione pertinenti cercando nel Threat Detection Marketplace con l’etichetta “CVE”.
Analisi di CVE-2025-34028
Commvault ha recentemente emesso un avviso di sicurezza per una vulnerabilità di massima gravità nel suo Command Center con un punteggio di 10,0 sulla scala CVSS. La vulnerabilità, identificata come CVE-2025-34028, interessa le versioni dalla 11.38.0 alla 11.38.19 dell’Innovation Release 11.38 ed è stata corretta nelle versioni 11.38.20 e 11.38.25.
I ricercatori del watchTowr Labs che hanno identificato e riportato la vulnerabilità il 7 aprile 2025, hanno dichiarato che gli attaccanti potrebbero sfruttare la vulnerabilità per ottenere RCE senza autenticazione preventiva. Più specificamente, la vulnerabilità risiede nell’endpoint “deployWebpackage.do”, che consente SSRF pre-autenticata a causa di una mancanza di validazione dell’host.
La catena di infezione inizia inviando una richiesta per recuperare un file ZIP dannoso da un server esterno. Lo ZIP viene ulteriormente decompresso in una directory temporanea. Utilizzando la traversal del percorso nel parametro servicePack, gli attaccanti spostano i contenuti in una directory accessibile dal web. Infine, gli avversari eseguono il file shell .jsp dannoso, ottenendo RCE, che potrebbe potenzialmente risultare in un compromesso completo del sistema. I ricercatori del watchTowr Labs hanno pubblicato un Generatore di Artefatti di Rilevazione con un PoC per CVE-2025-34028 su GitHub, che funziona caricando un archivio ZIP con un file .jsp. Una volta caricato, quest’ultimo viene estratto in una directory accessibile pubblicamente e le informazioni dell’utente di sistema sono rivelate nella risposta. Può aiutare i team di sicurezza a valutare se la loro istanza è affetta dal problema di sicurezza ed è suscettibile allo sfruttamento.
Il fornitore sollecita aggiornamenti immediati come misure di mitigazione per CVE-2025-34028. Poiché la vulnerabilità rappresenta un serio rischio per gli ambienti colpiti, l’ultra-responsività da parte dei difensori è di estremo valore. Affidandosi alla Piattaforma SOC Prime, i team di sicurezza possono rimanere sempre un passo avanti rispetto alle minacce emergenti e difendersi proattivamente contro i vari tentativi di sfruttamento di CVE mentre costruiscono una postura di cybersecurity robusta.