Les acteurs de la menace ont exploité la faille Commvault pour accéder aux secrets M365, permettant de nouvelles violations des demandes SaaS.
L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a mis en garde contre les acteurs de la menace abusant l’application SAAS Cloud de Commvault, Metallic, pour accéder aux secrets critiques de ses clients.
Selon un avis de la CISA, les acteurs de la menace peuvent avoir accédé aux secrets des clients de la solution de sauvegarde Metallic Microsoft 365 (M365) de Commvault, hébergée dans Microsoft Azure. Ceci, à son tour, leur a fourni un accès non autorisé aux environnements M365 des clients qui ont des secrets d’application stockés par Commvault.
L’accès non autorisé aux secrets du M365 de Commvault a été réalisé grâce à un exploit zéro jour. Microsoft a averti Commvault en février d’une vulnérabilité non spécifiée et à haute sévérité (suivi comme CVE-2025-3928) affectant le serveur Web Commvault et qu’un acteur de l’État-nation l’exploitait activement pour accéder aux environnements Azure.
Thomas Richards, directeur des pratiques de sécurité des infrastructures chez Black Duck, a déclaré que les flux de travail SaaS sont intrinsèquement vulnérables. « Alors que les solutions SaaS suppriment la charge administrative des organisations en matière d’hébergement et d’infrastructure, le revers de cela est que les organisations n’ont pas un moyen de sécuriser ou de contrôler ces environnements », a-t-il déclaré. «Lorsque Commvault a été compromis, les victimes n’étaient même pas au courant d’une violation.»
Pourquoi le CVE-2023-3928 est important pour la sécurité SaaS?
Dans l’avis, CISA a noté qu’elle soupçonne l’exploitation de CVE-2025-3928 fait partie d’une campagne plus large ciblant les applications SaaS avec des paramètres par défaut et des autorisations de haut niveau.
Commentant la note de CISA, James Maude, CTO Field à Beyondtrust, a déclaré: « Cela met en évidence les risques liés à l’autorisation d’accès privilégié à des tiers dans votre environnement, leur violation devient votre violation. »
«Alors que de nombreuses organisations ont des contrôles solides pour la délivrance et la gestion de l’accès des comptes humains utilisés par les entrepreneurs et les tiers, l’histoire est souvent très différente en ce qui concerne les identités non humaines et les secrets qui permettent les interactions machine à machine», a ajouté Maude.
Sur la base de l’enquête de Commvault, les acteurs de l’État-nation ont obtenu, grâce à une abus zéro-jour de CVE-2025-3928, un sous-ensemble de références d’application que certains clients de Commvault utilisaient pour authentifier leurs environnements M365.
CISA appelle à des correctifs rapides
Le défaut à haute sévérité (CVSS 8.7 sur 10) affectant le serveur Web Commvault a permis aux mauvais acteurs de créer et d’exécuter des webshells dans des environnements compromis. Le 28 avril 2025, CISA a ajouté les trois vulnérabilités à son catalogue de vulnérabilités exploité (KEV) connu, donnant aux agences du FCEB jusqu’au 19 mai 2025 pour corriger leurs systèmes sous la directive pour remédier aux vulnérabilités dangereuses entre les agences civiles.
La société a corrigé le défaut rapidement après avoir été signalé par Microsoft en février. Les correctifs ont été déployés dans les versions Commvault 11.36.46, 11.32.89,11.28.141 et 11.20.217.
La CISA a recommandé que les organisations appliquent immédiatement des correctifs ainsi que des atténuations supplémentaires, qui incluent la surveillance et l’examen des journaux d’audit Microsoft ENTRA, la connexion ENTRA et les journaux d’audit unifiés, la mise en œuvre d’une politique d’accès conditionnelle pour limiter l’authentification dans les applications de métallique unique et les secrets d’applications en rotation et les informations d’identification sur les applications Metalliques Commvault.
Omri Weinberg, PDG de Docontrol, relie l’incident à une tendance plus large. « Les attaquants pivotent des critères de terminaison et des attaques basées sur le réseau à l’exploitation des environnements SaaS sur-permissionnés et des applications cloud mal configurées », a déclaré Weinberg. «Les équipes de sécurité doivent traiter le SaaS avec la même rigueur que les infrastructures traditionnelles – en commençant par une gouvernance d’accès solide, une surveillance continue des intégrations d’applications tierces et limiter le rayon de souffle grâce à l’accès des moindres privilèges.»
L’enquête interne n’a révélé aucun accès non autorisé aux données de sauvegarde des clients que Commvault stocke et protège, a déclaré la société dans un communiqué en mai, ajoutant qu’il n’attend aucun impact matériel sur les opérations commerciales de Commvault ou sa capacité à fournir des produits et services.
