De Amerikaanse overheid waarschuwt voor aanvallen op een cloudapplicatie van Commvault waarmee organisaties back-ups maken, en denkt dat de aanvallen onderdeel zijn van een grotere campagne gericht tegen cloudapplicaties van SaaS-providers die met standaard configuraties en verhoogde rechten draaien. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten.

Commvault biedt verschillende oplossingen voor het maken en restoren van back-ups. Een daarvan is "Metallic", voor het beheer, back-up en herstel van data in cloudomgevingen. Het CISA laat weten dat aanvallers het hebben voorzien op de Metallic-cloudapplicatie die in de Microsoft Azure-cloudomgeving van Commvault draait. Daarbij hebben de aanvallers mogelijk de secrets van de back-upoplossing bemachtigd die in Azure draait. "Dit biedt de aanvallers ongeautoriseerde toegang tot de M365-omgeving van Commvault-klanten die application secrets door Commvault hebben opgeslagen", aldus het CISA.

De Amerikaanse overheidsinstantie adviseert Commvault-klanten om hun logs te monitoren en in bepaalde gevallen secrets te roteren. Daarnaast wordt aangeraden als dit kan om beleid in te stellen dat secrets minstens elke dertig dagen worden geroteerd. Ook wordt aangeraden om de beveiligingsupdate voor de kwetsbaarheid CVE-2025-3928 te installeren. Het CISA waarschuwde vorige maand voor actief misbruik van dit beveiligingslek. Commvault heeft zelf ook verschillende beveiligingsbulletins over de aanvallen gepubliceerd en adviseert ook het roteren van secrets en aanpassen van rechten en permissies.