cve-2025-3928 - RunkIntel

# CVE-2025-3928 > [!high] RCE no Commvault - Explorado por Silk Typhoon (APT chinês) > Vulnerabilidade de execução remota de código no Commvault Web Server permite que atacantes autenticados criem e executem webshells arbitrários. Explorado pelo grupo de espionagem **Silk Typhoon** (APT chinês) para comprometer ambientes de backup corporativo e exfiltrar dados sensíveis. ## Visão Geral [[cve-2025-3928|CVE-2025-3928]] é uma falha no Commvault Web Server que permite a um atacante autenticado (com credenciais válidas de qualquer tipo) criar webshells e executar código arbitrário no servidor. O Commvault é amplamente utilizado como solução de backup corporativo, tornando-o um alvo de alto valor para atores de espionagem - o comprometimento da plataforma de backup oferece acesso a dados de toda a organização. O grupo [[g0125-silk-typhoon|Silk Typhoon]] (anteriormente rastreado como HAFNIUM), um APT de espionagem associado à China, foi identificado explorando esta vulnerabilidade contra organizações do setor governamental e de tecnologia. O vetor de ataque típico envolve obter credenciais válidas via phishing ou reutilização de senhas, e então escalar para execução de código via webshell. O Commvault é comum em data centers corporativos brasileiros e de grandes organizações latino-americanas. Ambientes com versões desatualizadas do produto e exposição do Web Server à internet estão sob risco imediato de comprometimento por atores de espionagem. > [!latam] Relevância LATAM > Ambientes Commvault de organizações governamentais, financeiras e de telecomúnicações na América Latina devem priorizar o patch emergêncial. O Silk Typhoon demonstrou interesse histórico em alvos de infraestrutura crítica e supply chain de tecnologia na região. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Autenticação Insuficiente para Função Crítica (CWE-306) | | Componente | Commvault Web Server | | Pré-requisito | Credenciais válidas (qualquer nível) | | Impacto | Webshell, execução de código, acesso completo ao servidor | | Versões afetadas | < 11.38.20 / 11.36.46 / 11.32.89 | ## Attack Flow ```mermaid graph TB A["🎯 Credenciais comprometidas Phishing / credential stuffing"] --> B["🔐 Login no Commvault Web Server autenticado"] B --> C["⚡ CVE-2025-3928 Upload de webshell"] C --> D["💻 Execução de código Contexto do servidor"] D --> E["📦 Acesso a backups Dados de toda a org."] E --> F["📤 Exfiltração Espionagem corporativa"] ``` ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicação exposta - [[t1505-003-web-shell|T1505.003]] - Webshell para persistência - [[t1078-valid-accounts|T1078]] - Uso de contas válidas - [[t1041-exfiltration-over-c2-channel|T1041]] - Exfiltração via canal C2 ## Detecção e Defesa **Mitigação primária:** Atualizar Commvault para versão 11.38.20, 11.36.46 ou 11.32.89+. **Medidas imediatas:** - Não expor o Commvault Web Server diretamente à internet - usar VPN ou jump host - Auditar logs de autenticação e acesso ao Web Server para atividade anômala - Verificar presença de webshells nos diretórios do servidor Commvault **Mitigações adicionais:** - [[m1030-network-segmentation|M1030]] - Segmentar servidores de backup da rede geral - [[m1026-privileged-account-management|M1026]] - MFA obrigatório em contas de admin Commvault - [[m1051-update-software|M1051]] - Atualizar Commvault urgentemente ## Referências - [Commvault Security Advisory](https://www.commvault.com/security-advisories) - [CISA - Silk Typhoon TTPs](https://www.cisa.gov) - [Microsoft Threat Intelligence - HAFNIUM/Silk Typhoon](https://www.microsoft.com/en-us/security/blog)