Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in de back-upsoftware van Commvault, waardoor ongeauthenticeerde aanvallers kwetsbare servers via een zip-bestand op afstand kunnen overnemen. Commvault Command Center Innovation biedt een webinterface waarmee het mogelijk is om back-ups, restores en data in één gecentraliseerde omgeving te beheren.

Onderzoekers van securitybedrijf watchTowr ontdekten dat kwetsbare servers via een speciaal geprepareerd HTTP-request zijn te compromitteren. Dit request zorgt ervoor dat de server een zip-bestand met malafide jsp-bestanden van de server van de aanvaller downloadt. De inhoud van het zip-bestand wordt vervolgens uitgepakt in een .tmp directory waar de aanvaller controle over heeft. Die krijgt zodoende een shell op het systeem. De impact van het beveiligingslek (CVE-2025-34028) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Commvault werd op 7 april ingelicht en kwam op 10 april met een beveiligingsupdate. WatchTowr maakte op 24 april details over het beveiligingslek openbaar. Kort daarna nam het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security actief misbruik waar, want de overheidsdienst kwam op 2 mei met een waarschuwing. Eind april waarschuwde het CISA ook al voor actief misbruik van een beveiligingslek in Commvault-webserver. Het CISA geeft geen informatie over de waargenomen aanvallen.