Kritische Sicherheitslücke in Commvaults SaaS-Lösung „Metallic“: Was Unternehmen jetzt wissen müssen
Am 22. Mai 2025 veröffentlichte die US-amerikanische Cybersecurity-Behörde CISA eine dringende Sicherheitswarnung: Die SaaS-Backup-Lösung „Metallic“ von Commvault, gehostet in Microsoft Azure, ist Ziel aktiver Cyberangriffe. Angreifer nutzten dabei kompromittierte Anwendungsschlüssel aus, um unautorisierten Zugriff auf Microsoft 365-Umgebungen von Kunden zu erlangen. Diese Schwachstelle ist Teil einer größeren Angriffswelle, die auf Cloud-Anwendungen mit Standardkonfigurationen und übermäßigen Berechtigungen abzielt.
Was ist passiert?
Die Angreifer verschafften sich Zugriff auf sogenannte „Client Secrets“ – Anmeldeinformationen, die Commvault zur Verwaltung von Microsoft 365-Backups speichert. Mit diesen Informationen konnten sie sich als legitime Anwendungen ausgeben und so auf Kundendaten zugreifen. Besonders betroffen sind Umgebungen, in denen Commvaults Anwendungen mit erhöhten Rechten und ohne ausreichende Sicherheitskontrollen betrieben werden.
Wer ist betroffen?
Alle Unternehmen, die Commvaults Metallic SaaS-Lösung zur Sicherung ihrer Microsoft 365-Daten nutzen, sollten umgehend ihre Systeme überprüfen. Insbesondere Organisationen mit Single-Tenant-Architekturen und Standardkonfigurationen sind gefährdet.
Empfohlene Schutzmaßnahmen
Folgende Schritte empfehlen wir zur Risikominimierung:
- Überwachung von Entra-Audit-Logs: Prüfe unautorisierte Änderungen oder ob Anmeldeinformationen zu Service-Principals hinzugefügt wurden, die von Commvault-Anwendungen initiiert wurden.
- Analyse von Microsoft-Logs: Untersuche Entra-Audit-, Entra-Sign-In- und Unified-Audit-Logs auf verdächtige Aktivitäten. Führe ein internes Threat Hunting gemäß deiner Incident-Response-Strategie durch.
- Implementierung von Conditional Access Policies: Für Single-Tenant-Anwendungen solltest du bedingte Zugriffsrichtlinien einführen, die die Authentifizierung von Anwendungsschnittstellen auf vertrauenswürdige IP-Adressen beschränken.
- Überprüfung von Anwendungskonfigurationen: Stelle sicher, dass Anwendungen nur die minimal notwendigen Berechtigungen besitzen und keine übermäßigen Rechte eingeräumt werden.
- Aktualisierung von Zugangsdaten: Ändere regelmäßig die Anmeldeinformationen und stelle sicher, dass kompromittierte Schlüssel sofort deaktiviert werden.
Die aktuelle Bedrohungslage zeigt erneut, wie wichtig eine sorgfältige Konfiguration und Überwachung von Cloud-Diensten ist. Unternehmen sollten nicht nur auf aktuelle Sicherheitswarnungen reagieren, sondern ihre Systeme entsprechend absichern und regelmäßige Audits durchführen.
Wenn du Unterstützung bei der Absicherung deiner Systeme oder bei regelmäßigen Audits brauchst, melde dich gerne bei uns.
Die vollständige Sicherheitswarnung von der CISA findest du hier: Advisory Update on Cyber Threat Activity Targeting Commvault’s SaaS Cloud Application (Metallic)
Cyber-News
Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
