СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Артем
24.05.2025
#Dev#ИБ#Инфра#Облака

CISA: киберпреступники масштабируют атаки на SaaS-сервисы через секреты приложений и просчёты в конфигурации облака

CISA: киберпреступники масштабируют атаки на SaaS-сервисы через секреты приложений и просчёты в конфигурации облака

Изображение: recraft

Агентство по кибербезопасности США (CISA) обнародовало отчёт, в котором говорится о зафиксированных признаках развёртывания новых схем атак, направленных на облачные приложения. Документ, опубликованный в четверг, основан на результатах наблюдения за инфраструктурой Commvault — провайдера решений для резервного копирования, использующего Microsoft Azure в модели SaaS.

Согласно сообщению, хакеры получили возможность взаимодействовать с внутренними компонентами облачных сервисов M365, использующих платформу Commvault (Metallic). Взлом позволил им проникнуть в защищённые сегменты, где хранились конфиденциальные данные, в том числе технические секреты и доступы приложений.

По данным агентства, случившееся — не единичный эпизод, а часть масштабной операции, охватывающей множество поставщиков SaaS. Цель атакующих — те платформы, где настройки безопасности остались стандартными или где наблюдается чрезмерная открытость прав. Подобные конфигурации создают уязвимые зоны в системах, работающих в облачной среде.

Предупреждение последовало спустя несколько недель после того, как сама компания Commvault заявила о получении уведомления от Microsoft о признаках постороннего вмешательства. По версии разработчиков, это случилось в феврале 2025 года. Проверка показала: атака была инициирована кибергруппой, предположительно связанной с государственными структурами.

Было установлено, что для вторжения использовалась уязвимость под кодом CVE-2025-3928, связанная с веб-сервером Commvault. Этот пробел позволял пройти аутентификацию, после чего запускались веб-оболочки, с помощью которых злоумышленники управляли процессами в облаке.

Commvault, в отдельном комментарии к инциденту, заявила, что атаку отличает высокий уровень продуманности. Нападение было нацелено на отдельные наборы данных, с помощью которых клиенты авторизуются в системах Microsoft 365. То есть угроза затрагивала не только саму инфраструктуру провайдера, но и информационную безопасность клиентов, использующих сервис в корпоративной среде.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: