Commvault ist eine weit verbreitete Backup- und Datensicherheitsplattform auf Unternehmensebene, die sowohl als SaaS- als auch als On-Premise-Lösung verfügbar ist. Große Organisationen und Managed Service Provider setzen die Windows-Appliance (Innovation Release 11.38.x) häufig in Umgebungen ein, die hohe Sicherheitsstandards und Zero-Trust-Kontrollen erfordern.
| Datum | 2025-05-05 09:50:14 |
| Informationen |
|
Technische Zusammenfassung
Ein Angreifer kann zwei nicht authentifizierte Endpunkte — deployWebpackage.do und deployServiceCommcell.do — ausnutzen, um durch die Kombination der folgenden Schwachstellen eine Remote Code Execution (RCE) zu erreichen:
SSRF-Injektion
- Der Parameter
commcellNamewird ohne Validierung des Hostnamens direkt in eine HTTPS-GET-Anfrage (https://<commcellName>/commandcenter/webpackage.do) interpoliert. - Dies ermöglicht es dem Server, vom Angreifer kontrollierte Inhalte von beliebigen Hosts abzurufen.
- Der Parameter
Beliebiges Schreiben von Dateien und Directory Traversal
- Die abgerufene Antwort (in der Regel ein ZIP-Archiv) wird in einem Pfad auf die Festplatte geschrieben, der vom Parameter
servicePackabgeleitet ist. - Durch das Einfügen von Pfad-Traversal-Sequenzen (z. B.
../../Reports/MetricsUpload/shell/) kann ein Angreifer Dateien in webzugängliche Verzeichnisse wie/Reports/MetricsUpload/…schreiben.
- Die abgerufene Antwort (in der Regel ein ZIP-Archiv) wird in einem Pfad auf die Festplatte geschrieben, der vom Parameter
Hochladen und Ausführen von JSP-Dateien
- Ein bösartiges ZIP-Archiv, das
.jsp-Payloads enthält, wird in das Zielverzeichnis entpackt (z. B.…/shell/.tmp/dist-cc/dist-cc/). - Der Angreifer sendet anschließend eine HTTP-GET-Anfrage an die bereitgestellte JSP-Datei, wodurch beliebiger Code unter dem Tomcat-Prozess ausgeführt wird.
- Ein bösartiges ZIP-Archiv, das
Alternatives Hochladen via Multipart
- Der Endpunkt
deployServiceCommcell.doakzeptiert einen Multipart-Datei-Upload, wodurch der externe HTTP-Abruf vollständig umgangen wird und nicht vertrauenswürdiger ZIP-Inhalt direkt an dieselbe anfällige Bereitstellungsroutine übergeben wird.
- Der Endpunkt
Empfehlungen
Sofortiges Patching: Aktualisieren Sie alle On-Premise-Appliances auf das Innovation Release 11.38.20 oder höher, gemäß dem Security Advisory CV202504_1 von Commvault.
Netzwerkkontrollen: Implementieren Sie Egress-Filter oder Whitelists für Hosts, um SSRF-Angriffe zu verhindern — blockieren Sie nicht vertrauenswürdige Hostnamen/IPs, die der Backup-Server erreichen kann.
Eingabevalidierung: Stellen Sie eine serverseitige Bereinigung aller vom Benutzer bereitgestellten Parameter sicher, die im Kontext des Dateisystems oder bei HTTP-Anfragen verwendet werden.
Prinzip der geringsten Privilegien: Führen Sie Commvault-Dienste mit einem dedizierten Konto mit minimalen Schreibrechten aus — verhindern Sie Schreibzugriffe auf das Web-Root-Verzeichnis und Konfigurationsverzeichnisse.
Überwachung und Erkennung:
- Überprüfen Sie die Protokolle auf unerwartete Aufrufe von
deployWebpackage.dounddeployServiceCommcell.do. - Führen Sie Scans durch, um die Erstellung verdächtiger ZIP-Dateien oder neuer JSP-Dateien in webzugänglichen Pfaden zu identifizieren.
- Überprüfen Sie die Protokolle auf unerwartete Aufrufe von
[Callforaction-THREAT-Footer]
Leave a Reply