cve-2025-34027 - RunkIntel

# CVE-2025-34027 > [!critical] RCE Não Autenticado no Commvault HyperScale X - CVSS 9.8 > Execução remota de código sem autenticação no Commvault HyperScale X, plataforma de backup e recuperação de dados enterprise. Com CVSS 9.8, representa risco crítico para organizações que confiam no Commvault para proteção de dados — um atacante pode comprometer toda a infraestrutura de backup. ## Visão Geral [[cve-2025-34027|CVE-2025-34027]] é uma vulnerabilidade crítica de execução remota de código sem autenticação no Commvault HyperScale X, solução de backup enterprise. A falha, com CVSS 9.8, permite que qualquer atacante com acesso de rede ao servidor Commvault execute código arbitrário com privilégios elevados, sem necessidade de qualquer credencial válida. O comprometimento de um sistema de backup enterprise tem consequências devastadoras: além do acesso ao backup de todos os sistemas da organização (e portanto a todos os dados), o atacante pode sabotar os backups, eliminando a capacidade de recuperação em caso de ataque de ransomware subsequente. Esta combinação - comprometer backups antes do ransomware - é uma tática documentada de grupos como LockBit e Black Basta. Esta CVE está relacionada a outras vulnerabilidades Commvault descobertas em 2025 (incluindo [[cve-2025-3402|CVE-2025-3402]]), indicando uma revisão mais ampla de segurança da plataforma. Organizações que dependem do Commvault para backup devem tratar esta vulnerabilidade como emergência crítica. > [!latam] Relevância LATAM > Grandes corporações brasileiras e organizações governamentais que utilizam Commvault HyperScale X para backup de datacenter devem aplicar o patch emergêncialmente. A sabotagem de backups é precursora comum de ataques de ransomware de alto impacto no Brasil. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE Não Autenticado (CWE-78/CWE-306) | | Componente | Commvault HyperScale X | | CVSS | 9.8 CRITICAL | | Pré-requisito | Nenhum - acesso de rede suficiente | | Impacto | Comprometimento total do servidor de backup | ## Attack Flow ```mermaid graph TB A["🌐 Scanner de rede Porta Commvault exposta"] --> B["⚡ CVE-2025-34027 Exploit sem autenticação"] B --> C["💻 RCE no servidor Commvault HyperScale X"] C --> D["🗑️ Sabotagem de backups Dados corrompidos/deletados"] D --> E["💥 Ransomware Sem capacidade de recuperação"] ``` ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicação de backup exposta - [[t1485-data-destruction|T1485]] - Destruição de dados de backup - [[t1490-inhibit-system-recovery|T1490]] - Inibição da recuperação do sistema - [[t1059-004-unix-shell|T1059.004]] - Execução via shell no servidor ## Detecção e Defesa **Mitigação crítica:** Atualizar Commvault HyperScale X para versão 11.28.0 ou superior imediatamente. **Medidas de emergência:** - Isolar servidores Commvault da internet pública - nunca devem ter exposição direta - Verificar integridade dos backups existentes - detectar sinais de sabotagem - Monitorar logs de acesso para conexões anômalas ao servidor **Mitigações estruturais:** - [[m1030-network-segmentation|M1030]] - Infraestrutura de backup em segmento isolado - [[m1041-encrypt-sensitive-information|M1041]] - Cifrar backups com chaves offsite - [[m1051-update-software|M1051]] - Patch crítico Commvault HyperScale ## Referências - [Commvault Security Advisory](https://www.commvault.com/security-advisories) - [Tenable Research - Commvault vulnerabilities 2025](https://www.tenable.com/blog) - [BleepingComputer - Commvault RCE](https://www.bleepingcomputer.com)