Washington, EUA — InkDesign News — Uma falha crítica do tipo Server-Side Request Forgery (SSRF) no Commvault Command Center está sendo explorada ativamente por atacantes, mesmo em versões supostamente corrigidas do software, alertam pesquisadores de segurança.
Vetor de ataque
A vulnerabilidade CVE-2025-34028 é um SSRF pré-autenticação que permite que agentes maliciosos não autenticados forcem o servidor vulnerável a fazer solicitações HTTP arbitrárias a sistemas internos ou externos. No caso do Commvault Command Center, que abrange versões 11.38.0 a 11.38.19 para Windows e Linux, o exploit permite a execução remota de código. Pesquisadores desenvolveram código de prova de conceito (PoC) que demonstra a capacidade de um atacante fazer o sistema buscar e executar uma web shell hospedada externamente.
Impacto e resposta
Com uma pontuação máxima de 10.0 na escala CVSS, a falha representa risco elevado às infraestruturas geridas pelo Commvault, software amplamente utilizado em ambientes corporativos para backup, recuperação e armazenamento em nuvem. Clientes incluem empresas como AstraZeneca, 3M e Deloitte. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a CVE-2025-34028 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas.
A Commvault divulgou a vulnerabilidade em 17 de abril, após notificação da consultoria watchTowr, e lançou atualizações nas versões 11.38.20 e 11.38.25 do Command Center. Contudo, pesquisas independentes indicam que o código de exploração ainda funciona nas versões corrigidas, levantando dúvidas sobre a eficácia das correções oficiais.
“Portanto, não acredito na afirmação da Commvault de que a versão 11.38.25 corrige a vulnerabilidade que a watchTowr encontrou na 11.38.20.”
(“So, I don’t believe Commvault’s statement that 11.38.25 fixes the vulnerability that watchTowr found in 11.38.20.”)— Will Dorman, Pesquisador de Segurança
Análise e recomendações
Especialistas alertam para o perigo da falha permanecer ativa em ambientes que dependem do Commvault como última linha de defesa contra ataques de ransomware. Recomenda-se restringir o acesso à interface do Command Center, auditar sinais de comprometimento e implementar segmentação em redes de backup. Caso a instalação imediata das atualizações não seja possível, a empresa sugere isolar as instâncias vulneráveis como medida provisória.
“CVE-2025-34028 é profundamente preocupante — não apenas pelo elo técnico de exploração que permite execução remota de código sem autenticação, mas também pelas evidências crescentes de que a questão pode não estar totalmente mitigada, mesmo em versões corrigidas.”
(“CVE-2025-34028 is deeply concerning — not only because of the technical exploit chain that enables unauthenticated remote code execution, but also due to the growing evidence that the issue may not be fully mitigated, even in patched versions.”)— Heath Renfrow, CISO e cofundador da Fenix24
Organizações afetadas aguardam esclarecimentos detalhados da Commvault sobre o alcance da correção, enquanto a comunidade de segurança monitora a situação atentamente. A continuidade do problema pode afetar milhares de ambientes críticos, reforçando a necessidade de práticas avançadas de segurança em gerenciamento de backups.
Para aprofundar, visite nossa seção Cibersegurança e acompanhe atualizações em Ameaças.
Fonte: (Dark Reading – Segurança Cibernética)
