La faille SSRF peut être intensifiée pour exécuter le code en utilisant un fichier zip avec un RCE malveillant.
Commvault avertit les clients d’une vulnérabilité critique affectant le centre de commandement, une console de gestion basée sur le Web pour ses offres de protection des données et de sauvegarde.
Le défaut, suivi en CV-2025-34028, pourrait permettre aux attaquants distants d’exécuter du code arbitraire sans authentification sur les installations Linux affectées ainsi que Windows.
«Cette vulnérabilité de Commvault souligne un risque important: les attaquants peuvent exploiter les points finaux de l’API faibles pour obtenir un accès approfondi à des systèmes sensibles», a déclaré Eric Schwake, directeur de la stratégie de cybersécurité à la sécurité des sel. «La menace réside dans la possibilité d’une exécution de code distante pré-authentifiée sur des systèmes qui sont souvent cruciaux pour le cadre de protection des données d’une organisation.»
Commvault est une plate-forme logicielle de protection, de sauvegarde et de récupération largement utilisée, avec des utilisateurs comme Amazon, Walmart et Apple, qui, s’ils sont violés, peuvent permettre une perturbation des opérations de sauvegarde d’une organisation, en plus d’un accès non autorisé, d’un mouvement latéral et d’un déploiement de logiciels malveillants et de ransomware.
SSRF Flaw a augmenté à l’exécution du code
La vulnérabilité a été signalée par le chercheur de Watchtowr Labs Sonny MacDonald en tant que problème de contrefaçon de demande de serveur (SSRF) dans un point final pré-authentifié appelé Deploywebpackage.do. MacDonald l’a qualifié de «vulnérabilité SSRF pré-AUTH très simple, car il n’y a pas de filtrage limitant les hôtes qui peuvent être communiqués avec.»
«Les vulnérabilités du SSRF sont assez difficiles à découvrir, mais elles peuvent causer des dommages importants», a déclaré Thomas Richards, directeur des pratiques de sécurité des infrastructures chez Black Duck. «Les utilisateurs de Commvault doivent corriger leur installation immédiatement et commencer l’examen médico-légal pour déterminer si leur instance a été exploitée. Si l’instance a été exposée à Internet, des restrictions de pare-feu doivent être mises en place pour contrôler qui peut y accéder.»
SSRF – une faille permettant aux attaquants de tromper un serveur pour faire des demandes non autorisées aux systèmes internes ou externes – ne peut pas (en soi) l’exécution de code. Dans ce cas particulier, cependant, MacDonald a construit un exploit POC pour montrer comment ce SSRF pré-authentifié pourrait être intensifié pour permettre le RCE.
L’escalade est réalisée en utilisant un fichier d’archive zip contenant un fichier .jsp malveillant, qui est récupéré et exécuté via l’exploit SSRF.
La pré-authentification augmente l’exploitabilité
Pour commencer, il permet l’exploitation de pré-authentification, ce qui signifie qu’il peut être déclenché avant que toute authentification ne soit requise, conduisant à une exploitabilité élevée sans avoir besoin d’identification.
De plus, le défaut expose des objectifs de grande valeur en raison de la popularité de Commvault. «Commvault est souvent déployé dans des environnements gérant les infrastructures critiques et la reprise après sinistre», a déclaré Renfrow. « Un compromis ici pourrait avoir un impact non seulement sur l’intégrité des données, mais aussi la capacité d’une entreprise à se remettre d’un ransomware ou d’une défaillance du système, transformant un seul défaut en une crise multi-vecteurs. »
Dans sa description de la faille, Commvault a déclaré que la vulnérabilité pourrait conduire à un compromis complet de l’environnement du centre de commande, bien que d’autres installations du même système ne soient pas affectées. La vulnérabilité CVSS 9.0 affectant les versions 11.38.0 et 11.38.19 a été fixée par la société plus tôt ce mois-ci, et les correctifs ont été déployés avec la mise à jour 11.38.20.
L’isolement de l’installation du centre de commande à partir de l’accès au réseau externe est une solution de contournement que les utilisateurs peuvent implémenter si la mise à jour n’est pas une option pour eux, a déclaré Commvault.
