Sự việc xảy ra do tin tặc đã lợi dụng một lỗ hổng bảo mật cụ thể (được định danh là CVE-2025-3928), mà tại thời điểm bị tấn công, lỗ hổng này chưa từng được biết đến công khai (gọi là lỗ hổng zero-day).

Commvault đã khẳng định một cách mạnh mẽ rằng không có bằng chứng nào cho thấy dữ liệu sao lưu của khách hàng mà Commvault đang lưu trữ và bảo vệ đã bị truy cập trái phép. Công ty cũng nhấn mạnh sự cố này không ảnh hưởng đáng kể đến hoạt động kinh doanh hoặc khả năng cung cấp sản phẩm và dịch vụ của họ.

* Chi tiết sự cố và hành động của Commvault:

Commvault được Microsoft thông báo về hoạt động bất thường trong môi trường Azure của mình vào ngày 20 tháng 2 năm 2025. Sau khi phát hiện, Commvault đã ngay lập tức thay đổi các thông tin đăng nhập có thể bị ảnh hưởng và tăng cường các biện pháp bảo mật.

Sự nguy hiểm của lỗ hổng CVE-2025-3928 cũng được xác nhận bởi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA). CISA đã thêm lỗ hổng này vào danh sách các lỗ hổng đã bị khai thác trong thực tế (Known Exploited Vulnerabilities - KEV) và yêu cầu các cơ quan liên bang tại Mỹ phải áp dụng bản vá cho máy chủ web Commvault (Commvault Web Server) trước ngày 19 tháng 5 năm 2025.

* Commvault khuyến cáo khách hàng nên làm gì?

Để giảm thiểu rủi ro từ các cuộc tấn công tương tự, Commvault đưa ra các khuyến nghị quan trọng cho khách hàng của mình, đặc biệt là những người sử dụng dịch vụ Microsoft 365, Dynamics 365 và Azure AD kết hợp với Commvault:

1. Áp dụng chính sách Truy cập có điều kiện: Thiết lập chính sách này cho tất cả các dịch vụ đăng nhập của Microsoft.

2. Thay đổi thông tin bí mật định kỳ: Nên thường xuyên (ví dụ: mỗi 90 ngày) thay đổi và đồng bộ hóa các thông tin bí mật (secrets) của khách hàng giữa cổng thông tin Azure và cổng Commvault.

3. Theo dõi hoạt động đăng nhập: Kiểm tra nhật ký đăng nhập để phát hiện bất kỳ nỗ lực truy cập nào đến từ các địa chỉ IP lạ hoặc không được phép.

4. Chặn các địa chỉ IP độc hại: Commvault đã xác định một số địa chỉ IP liên quan đến hoạt động tấn công và khuyến cáo khách hàng chặn rõ ràng các địa chỉ này trong chính sách truy cập có điều kiện và theo dõi chúng trong nhật ký đăng nhập Azure. Các địa chỉ IP cần lưu ý là:

· 108.69.148.100

· 128.92.80.210

· 184.153.42.129

· 108.6.189.53

· 159.242.42.20

5. Báo cáo sự cố: Nếu phát hiện bất kỳ nỗ lực truy cập nào từ các địa chỉ IP trên, hãy báo cáo ngay lập tức cho bộ phận Hỗ trợ của Commvault để được hỗ trợ.

* Commvault tái khẳng định cam kết bảo vệ dữ liệu của khách hàng và đang tiếp tục làm việc với Microsoft để đảm bảo an toàn tối đa cho môi trường của mình. Sự việc này là một lời nhắc nhở về tầm quan trọng của việc luôn cập nhật bản vá bảo mật và giám sát chặt chẽ các hoạt động truy cập vào hệ thống.