Immagina di scoprire che il tuo sistema di backup, quel baluardo che pensavi fosse invulnerabile, nasconde in realtà delle falle critiche. Recentemente, Commvault, uno dei nomi più noti nel mondo del backup e della replica dei dati, ha fatto parlare di sé rilasciando patch per risolvere ben quattro vulnerabilità nel suo software. E se non affrontate, queste vulnerabilità potrebbero combinarsi per dare vita a due catene di exploit di esecuzione remota del codice (RCE) davvero preoccupanti. Pronto a scoprire tutti i dettagli? Andiamo!
Le vulnerabilità svelate: un attacco in due fasi
Le quattro falle sono state scoperte dai ricercatori di WatchTowr, che hanno iniziato a mettere sotto esame il software di Commvault dopo aver identificato un’altra vulnerabilità RCE – CVE-2025-34028 – all’inizio di quest’anno.
Non ci crederai, ma i ricercatori hanno sottolineato quanto sia cruciale monitorare le soluzioni di backup, definendole obiettivi di alto valore per gli attaccanti. Proprio come un Pokémon che evolve, anche queste vulnerabilità possono unirsi per formare due catene di attacco distinte e pericolose.
Le vulnerabilità identificate hanno ricevuto le seguenti designazioni: CVE-2025-57788, CVE-2025-57789, CVE-2025-57790 e CVE-2025-57791. La prima catena di attacco si basa sulla combinazione delle vulnerabilità CVE-2025-57791 e CVE-2025-57790, mentre la seconda coinvolge CVE-2025-57788 e CVE-2025-57789 insieme alla CVE-2025-57790.
Come funzionano le catene di attacco?
Ora, entriamo nei dettagli: la CVE-2025-57791 è una vulnerabilità di iniezione di argomenti, che consente a un attaccante remoto di manipolare i comandi interni del sistema, creando un token API valido per una sessione utente a basso privilegio.
Questa è la chiave per accedere ai sistemi mirati! Dall’altra parte, la CVE-2025-57790 è una vulnerabilità di traversata del percorso che permette di scrivere un webshell JSP, ottenendo così l’accesso remoto al sistema. Spaventoso, vero?
Passando alla seconda catena di attacco, la CVE-2025-57788 consente la divulgazione di informazioni sensibili mediante l’esecuzione non autorizzata di chiamate API, mentre la CVE-2025-57789, una vulnerabilità di elevazione dei privilegi, permette di recuperare una password di amministratore crittografata. Combinando tutte queste vulnerabilità, un attaccante può ottenere l’accesso completo al sistema. Insomma, un vero e proprio incubo per la sicurezza informatica!
La situazione attuale e le raccomandazioni
Secondo quanto annunciato da WatchTowr, la prima catena di attacco è applicabile a qualsiasi istanza di Commvault non aggiornata, mentre la seconda richiede condizioni specifiche per poter essere sfruttabile.
È importante sottolineare che nessuna di queste vulnerabilità è applicabile agli utenti di software-as-a-service (SaaS). Ma cosa significa tutto ciò per te?
Le patch sono già disponibili per le versioni 11.32.0 a 11.32.101 e 11.36.0 a 11.36.59 di Commvault, portandole rispettivamente a 11.32.102 e 11.36.60. I ricercatori hanno anche comunicato che le versioni 11.38.20 a 11.38.25 sono state aggiornate a 11.38.32, anche se questo non è stato specificato nell’avviso ufficiale di Commvault.
È fondamentale che i clienti on-premise applichino tutte e quattro le patch il prima possibile per non mettere a rischio la sicurezza dei propri dati. Come ha dichiarato un portavoce di Commvault, l’azienda ha ringraziato i ricercatori per la loro segnalazione responsabile e ha rassicurato che i clienti non sono stati impattati da queste vulnerabilità. Quindi, non rischiare: è il momento di agire!
Non perdere l’opportunità di proteggere i tuoi dati! Condividi queste informazioni e assicurati che tutti siano a conoscenza di queste vulnerabilità critiche. Ricorda, la sicurezza informatica è una responsabilità collettiva! 🔒✨
