Kritische Sicherheitslücke in Commvault Command Center entdeckt

MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke im Commvault Command Center wurde aufgedeckt, die es Angreifern ermöglicht, aus der Ferne Code auszuführen. Diese Schwachstelle, die als CVE-2025-34028 verfolgt wird, hat einen CVSS-Score von 9,0 von maximal 10,0 und könnte zu einer vollständigen Kompromittierung der Umgebung führen.

Eine kritische Sicherheitslücke im Commvault Command Center wurde aufgedeckt, die es Angreifern ermöglicht, aus der Ferne beliebigen Code auszuführen. Diese Schwachstelle, bekannt als CVE-2025-34028, hat einen CVSS-Score von 9,0 von maximal 10,0 und könnte zu einer vollständigen Kompromittierung der Umgebung führen. Laut einer kürzlich veröffentlichten Sicherheitswarnung von Commvault betrifft die Schwachstelle die Versionen 11.38.0 bis 11.38.19 des 11.38 Innovation Release und wurde in den Versionen 11.38.20 und 11.38.25 behoben.

Die Sicherheitslücke wurde von Sonny Macdonald, einem Forscher bei watchTowr Labs, entdeckt und am 7. April 2025 gemeldet. In einem Bericht, der mit Branchenexperten geteilt wurde, erklärte Macdonald, dass die Schwachstelle ausgenutzt werden kann, um eine nicht authentifizierte Remote-Code-Ausführung zu erreichen. Das Problem liegt in einem Endpunkt namens “deployWebpackage.do”, der eine vorab authentifizierte Server-Side Request Forgery (SSRF) auslöst, da es keine Filterung gibt, welche Hosts angesprochen werden können.

Besonders besorgniserregend ist, dass die SSRF-Schwachstelle eskaliert werden kann, um Code auszuführen, indem eine ZIP-Archivdatei mit einer bösartigen .JSP-Datei verwendet wird. Der gesamte Ablauf sieht wie folgt aus: Ein HTTP-Request wird an /commandcenter/deployWebpackage.do gesendet, wodurch die Commvault-Instanz eine ZIP-Datei von einem externen Server abruft. Der Inhalt der ZIP-Datei wird in ein .tmp-Verzeichnis unter der Kontrolle des Angreifers entpackt. Der Parameter servicePack wird verwendet, um in ein vorab authentifiziertes Verzeichnis auf dem Server zu gelangen, wie z.B. ../../Reports/MetricsUpload/shell. Schließlich wird die SSRF über /commandcenter/deployWebpackage.do ausgeführt und die Shell von /reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp gestartet.

watchTowr hat auch ein Detection Artefact Generator entwickelt, das Organisationen nutzen können, um festzustellen, ob ihre Instanz anfällig für die Schwachstelle ist. Angesichts der Tatsache, dass Schwachstellen in Backup- und Replikationssoftware wie Veeam und NAKIVO aktiv ausgenutzt werden, ist es entscheidend, dass Benutzer die notwendigen Maßnahmen ergreifen, um sich vor potenziellen Bedrohungen zu schützen.

Die Entdeckung dieser Sicherheitslücke unterstreicht die Notwendigkeit, dass Unternehmen ihre Sicherheitspraktiken kontinuierlich überprüfen und aktualisieren. In einer Zeit, in der Cyberangriffe immer raffinierter werden, ist es unerlässlich, dass IT-Teams wachsam bleiben und proaktiv handeln, um ihre Systeme zu schützen. Die schnelle Reaktion von Commvault, die Schwachstelle zu beheben, zeigt, wie wichtig es ist, auf Sicherheitswarnungen schnell zu reagieren und die notwendigen Updates bereitzustellen.

Für Unternehmen, die Commvault Command Center nutzen, ist es ratsam, die neuesten Updates so schnell wie möglich zu installieren und sicherzustellen, dass ihre Systeme regelmäßig auf Schwachstellen überprüft werden. Die Implementierung von Sicherheitsrichtlinien und die Schulung von Mitarbeitern in Bezug auf Sicherheitsbewusstsein können ebenfalls dazu beitragen, das Risiko von Sicherheitsverletzungen zu minimieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!