Last Updated on 2025-04-25 12:30 by admin

Commvault Command Centerに最大深刻度の脆弱性（CVE-2025-34028）が発見されました。この脆弱性はCVSS 10.0の評価を受け、CommvaultのWindowsおよびLinuxバージョン11.38.0から11.38.19に影響します。watchTowrの研究者Sonny Macdonaldが2025年4月7日に発見し、Commvaultに報告しました。

この脆弱性は「deployWebpackage.do」エンドポイントに存在するパストラバーサルの問題で、未認証の攻撃者がZIPファイルをアップロードし、サーバー上でリモートコード実行（RCE）を可能にします。具体的には、サーバーサイドリクエストフォージェリ（SSRF）とパストラバーサルを組み合わせて、外部サーバーから悪意のあるZIPファイルをダウンロードさせ、JSPファイルを実行可能なディレクトリに展開することで攻撃が成立します。

Commvaultは4月17日にセキュリティアドバイザリを公開し、バージョン11.38.20および11.38.25で脆弱性を修正しました。watchTowrは4月24日に技術的詳細と概念実証（PoC）エクスプロイトを公開しています。

セキュリティ専門家は、この脆弱性が特に危険である理由として、認証不要でリモートから攻撃可能であること、Commvault製品がエンタープライズ環境内で特権的な地位を持っていること、そしてZIPベースのファイル展開を含む連鎖攻撃手法が可能であることを挙げています。

from:Max-Severity Commvault Bug Alarms Researchers

【編集部解説】

今回報告されたCommvault Command Centerの脆弱性（CVE-2025-34028）は、企業のデータ保護インフラに直接影響を与える可能性がある重大な問題です。CVSS 10.0という最高レベルの深刻度評価は、この脆弱性が認証なしでリモートから悪用可能であり、影響を受けるシステムを完全に制御できることを意味します。

特に注目すべきは、この脆弱性がバックアップと復旧システムに存在することです。近年のサイバー攻撃では、攻撃者はまずバックアップシステムを無効化してから本体システムを攻撃するという二段階の戦略を取ることが増えています。ColorTokensのCISO顧問であるAgnidipta Sarkar氏も「Commvaultのデータ保護インフラの中心的コンポーネントであるCommand Centerの完全な侵害につながるこのバグは、デジタルシステムに明白かつ現在の危険をもたらす」と警告しています。

技術的には、この脆弱性は「deployWebpackage.do」エンドポイントに存在するSSRF（サーバーサイドリクエストフォージェリ）の問題で、ホスト検証の欠如により未認証の状態で悪用可能です。攻撃者は、外部サーバーから悪意のあるZIPファイルをダウンロードさせ、servicePack パラメータでパストラバーサルを行い、JSPファイルを実行可能なディレクトリに展開することでリモートコード実行を達成できます。

幸いなことに、Commvaultは脆弱性の報告から迅速に対応し、4月17日にセキュリティアドバイザリを公開し、バージョン11.38.20および11.38.25で修正を行いました。影響を受けるのは「Innovation Release」と呼ばれる最新機能を含むバージョン（11.38.0〜11.38.19）のみで、長期サポート版のCommvault Platform Releasesには影響しません。

しかし、watchTowrが4月24日に技術的詳細と概念実証（PoC）エクスプロイトを公開したことで、今後この脆弱性を狙った攻撃が増加する可能性があります。特にランサムウェアグループは、バックアップシステムを標的にすることで「バックアップからの復元」という防御策を無効化しようとする傾向があります。

企業のITセキュリティ担当者は、以下の対応を検討すべきでしょう：

自動更新が正しく構成されているか確認し、バージョン11.38.20以降に更新されていることを確認する
更新が不可能な場合は、Command Centerをインターネットから分離する
Command Centerが公共のインターネットに公開されていないことを確認する
不審なネットワークアクティビティを監視する

【用語解説】

Commvault（コムボールト）:
データ保護、バックアップ、リカバリ、クラウドストレージなどのソリューションを提供する米国の企業。世界中の10万以上の組織が利用している大手バックアップソリューション企業である。本社はニュージャージー州ティントンフォールズにある。

Command Center:
Commvaultの主要製品の一つで、Webベースのユーザーインターフェース。企業のデータ保護、バックアップ、リカバリタスクを管理するためのダッシュボード。主にヘルプデスクや一般的な管理タスク（ユーザーメールの復元など）に使用される。

CVE-2025-34028:
今回報告された脆弱性の識別番号。CVE（Common Vulnerabilities and Exposures）は共通脆弱性識別子で、公開されたセキュリティ上の脆弱性に割り当てられる一意の識別番号である。CVSS 10.0の最高深刻度評価を受けている。

SSRF（Server-Side Request Forgery）:
サーバーサイドリクエストフォージェリ。攻撃者がサーバーに対して、意図しない内部または外部のシステムへのリクエストを送信させる脆弱性。

パストラバーサル:
ファイルパスを操作して、本来アクセスできないディレクトリやファイルにアクセスする攻撃手法。「../」などの特殊文字を使って上位ディレクトリに移動し、制限されたディレクトリの外にあるファイルにアクセスする。

watchTowr:
2021年にシンガポールで設立されたサイバーセキュリティ企業。攻撃者の視点からセキュリティを評価する「攻撃表面管理（ASM）」ソリューションを提供している。今回のCommvaultの脆弱性を発見した企業である。

概念実証エクスプロイト（PoC）:
Proof of Concept Exploit。脆弱性が実際に悪用可能であることを証明するために開発されたコードやテクニック。watchTowrは4月24日にCVE-2025-34028のPoCを公開した。

【参考リンク】

Commvault公式サイト（外部）
データ保護、サイバーリカバリー、サイバーレジリエンスを一つのクラウドプラットフォームで提供する企業の公式サイト。

watchTowr公式サイト（外部）
外部攻撃表面管理（EASM）ソリューションを提供するサイバーセキュリティ企業の公式サイト。

【参考動画】

【編集部後記】

innovaTopiaをご愛読いただいている皆さん、企業のデータバックアップ対策は万全でしょうか？ 今回のCommvaultの事例は、「最後の砦」と思われがちなバックアップシステム自体が攻撃対象になっている現実を示しています。特にランサムウェア攻撃者は、バックアップシステムを標的にすることで「バックアップからの復元」という防御策を無効化しようとする傾向があります。自社のバックアップソリューションのバージョンを確認したり、Command Centerがインターネットに公開されていないか点検したりすることも、今後の対策につながるかもしれません。皆さんの組織ではどのようなデータ保護戦略を採用していますか？

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む