Detecção de CVE-2025-34028: Uma Vulnerabilidade de Severidade Máxima no Commvault Command Center Permite RCE
Índice:
Seguindo a CVE-2025-30406 divulgação, uma RCE falha nas plataformas amplamente utilizadas Gladinet CentreStack e Triofox, outra vulnerabilidade altamente crítica que também poderia permitir a execução remota de código arbitrário sem autenticação, está surgindo. A falha, rastreada como CVE-2025-34028, foi recentemente descoberta na instalação do Command Center, o que poderia levar a uma tomada completa do sistema.
Detectar Tentativas de Exploração do CVE-2025-34028
O ano passado viu uma média de 115 vulnerabilidades divulgadas a cada dia—e 2025 já está a caminho de superar esse ritmo, com 15.423 CVEs identificados até agora. Para mitigar efetivamente o risco, as equipes de segurança devem se concentrar na identificação precoce e em estratégias de resposta rápida que se antecipem às ameaças emergentes explorando vulnerabilidades recém-divulgadas.
Registre-se na Plataforma SOC Prime e acesse um conjunto de regras Sigma selecionadas que abordam as tentativas de exploração do CVE-2025-34028 junto com um conjunto completo de produtos para engenharia de detecção com inteligência artificial, caça a ameaças automatizada e detecção avançada de ameaças. Basta clicar no Explorar Detecções botão abaixo para aprofundar-se imediatamente em um conjunto de detecções relevante.
Todas as regras são compatíveis com múltiplas tecnologias SIEM, EDR e Data Lake, e mapeadas para MITRE ATT&CK® para facilitar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados extensos, incluindo CTI referências, cronogramas de ataques, configurações de auditoria, recomendações de triagem e mais.
Os defensores cibernéticos que buscam conteúdo mais relevante para detectar ataques cibernéticos que usam vulnerabilidades em tendência podem acessar toda a coleção de algoritmos de detecção relevantes pesquisando no Marketplace de Detecção de Ameaças com a tag “CVE”.
Análise do CVE-2025-34028
A Commvault emitiu recentemente um aviso de segurança para uma vulnerabilidade de máxima severidade no seu Command Center classificada como 10,0 na escala CVSS. A falha, identificada como CVE-2025-34028, afeta as versões 11.38.0 até 11.38.19 da Release de Inovação 11.38 e foi corrigida nas versões 11.38.20 e 11.38.25.
Pesquisadores da watchTowr Labs que identificaram e relataram a vulnerabilidade em 7 de abril de 2025, afirmaram que atacantes poderiam usar a falha para obter RCE sem autenticação prévia. Mais especificamente, a vulnerabilidade reside no ponto de extremidade “deployWebpackage.do”, que permite SSRF pré-autenticado devido à falta de validação de host.
A cadeia de infecção começa enviando uma solicitação para buscar um arquivo ZIP malicioso de um servidor externo. O ZIP é posteriormente descompactado em um diretório temporário. Utilizando a travessia de caminho no parâmetro servicePack, os atacantes movem o conteúdo para um diretório acessível pela web. Finalmente, os adversários executam o arquivo de shell .jsp malicioso, obtendo RCE, o que pode resultar em uma possível tomada de controle total do sistema. Os pesquisadores do watchTowr Labs publicaram um Gerador de Artefato de Detecção com um PoC do CVE-2025-34028 no GitHub, que funciona enviando um arquivo ZIP com um arquivo .jsp. Uma vez enviado, este último é extraído para um diretório publicamente acessível, e as informações do usuário do sistema são reveladas na resposta. Isso pode ajudar as equipes de segurança a avaliar se sua instância é afetada pela falha de segurança e está sujeita a exploração.
O fornecedor urge atualizações imediatas como medidas de mitigação para o CVE-2025-34028. Como a falha representa um sério risco para ambientes afetados, a ultrarresponsividade dos defensores é de valor primordial. Ao confiar na Plataforma SOC Prime, as equipes de segurança podem sempre se antecipar às ameaças emergentes e se defender proativamente contra diversas tentativas de exploração de CVE enquanto constroem uma postura de cibersegurança robusta.
