Commvault Command Center：修正済みとされる最大深刻度の脆弱性が依然として悪用可能

2025年5月7日8:15

サイバーセキュリティニュース

Commvault Command Center：修正済みとされる最大深刻度の脆弱性が依然として悪用可能 - innovaTopia - （イノベトピア）

Last Updated on 2025-05-07 08:15 by admin

Commvaultのデータ管理ソフトウェア「Command Center」に存在する重大な脆弱性（CVE-2025-34028）が、修正済みとされるバージョンでも依然として悪用可能であることがセキュリティ研究者Will Dormannによって指摘された。

この脆弱性は、バージョン11.38.0から11.38.19に存在するサーバーサイドリクエストフォージェリ（SSRF）の問題である。

Commvaultは2025年4月17日に脆弱性を公開し、バージョン11.38.20および11.38.25で修正したと発表した。しかし、セキュリティ企業watchTowrが開発したエクスプロイトコードは、これら「修正済み」とされる両バージョンでも機能することが確認された。

この脆弱性はCVSS評価で最大スコアの10.0を記録しており、認証なしでリモートからコード実行が可能となる極めて深刻な問題である。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、この脆弱性が積極的に悪用されていることを受け、5月2日に「既知の悪用される脆弱性」カタログに追加した。

Commvaultの顧客にはAstra Zeneca、3M、ADP、Sony、ING、Deloitteなどの大企業が含まれており、セキュリティ専門家はバックアップシステムの侵害がランサムウェア対策の最後の防衛線を危険にさらす可能性があると警告している。

from:Researcher Says Patched Commvault Bug Still Exploitable

【編集部解説】

今回のCommvault Command Centerの脆弱性問題は、企業のデータ保護基盤に関わる重大なセキュリティリスクを浮き彫りにしています。

まず注目すべきは、この脆弱性（CVE-2025-34028）が最大深刻度のCVSSスコア10.0を記録している点です。これは認証なしでリモートからコード実行が可能となる極めて深刻な問題であり、攻撃の敷居が低いことを意味しています。

複数の情報源を確認すると、この脆弱性は2025年4月7日にwatchTowr Labsの研究者Sonny Macdonaldによって発見され、Commvaultは4月17日に公開しています。その後、4月24日にwatchTowrが技術的詳細と概念実証（PoC）コードを公開し、5月2日にはCISAが「既知の悪用される脆弱性」カタログに追加しました。

特に懸念されるのは、Will Dormannが指摘するように、Commvaultが修正済みとしたバージョン（11.38.20と11.38.25）でも脆弱性が残存している可能性があることです。これは企業のセキュリティ対応に重大な影響を与えかねません。

バックアップシステムはランサムウェア対策の最後の砦として機能するため、この脆弱性の影響は単なるデータ漏洩にとどまりません。攻撃者がバックアップシステムを侵害できれば、企業の復旧能力そのものが危険にさらされることになります。

技術的には、この脆弱性は「deployWebpackage.do」エンドポイントにおけるサーバーサイドリクエストフォージェリ（SSRF）の問題です。攻撃者は悪意のある.JSPファイルを含むZIPアーカイブをアップロードし、サーバー上でコードを実行させることができます。

企業のIT管理者は、Arctic Wolfの推奨するように、Commvault Command Centerをインターネットに公開せず、内部ネットワークでのみアクセス可能にするなどの対策を検討すべきでしょう。

また、この事例はセキュリティパッチの検証プロセスの重要性も示しています。企業はベンダーの「修正済み」という主張を鵜呑みにせず、可能であれば独自に検証することが望ましいでしょう。

今後、同様の重要インフラに対する攻撃は増加すると予想されます。特に、バックアップシステムやデータ保護ソリューションは攻撃者にとって魅力的なターゲットとなっています。

【用語解説】

Commvault Command Center：
企業のデータバックアップや復元を管理するためのウェブベースのインターフェース。単一の画面からデータ保護環境全体を監視・管理できるダッシュボードを提供している。

サーバーサイドリクエストフォージェリ（SSRF）：
攻撃者がサーバーに対して、内部または外部のシステムへの不正なHTTPリクエストを強制させる脆弱性。簡単に言えば、攻撃者が「サーバーになりすまして」別のシステムにアクセスできてしまう問題である。

CISA（Cybersecurity and Infrastructure Security Agency）：
米国の重要インフラとサイバーセキュリティを保護する政府機関。2018年に設立され、サイバー攻撃から政府機関や民間企業を守るための取り組みを行っている。

CVSS（Common Vulnerability Scoring System）：
脆弱性の深刻度を評価するための標準的な採点システム。10.0が最大スコアで、最も深刻な脆弱性を示す。

watchTowr Labs：
サイバーセキュリティ研究を行う企業で、今回のCommvault脆弱性を発見した組織。脆弱性の発見と責任ある開示に取り組んでいる。

【参考リンク】

Commvault公式サイト（外部）
ランサムウェアなどの脅威に対するサイバーセキュリティソリューションを提供している企業のウェブサイト。

CISA公式サイト（外部）
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁の公式サイト。脆弱性情報や対策ガイドを提供している。

Commvault Command Center紹介ページ（外部）
Commvault Command Centerの機能や特徴を紹介するページ。

【参考動画】

【編集部後記】

皆さんの組織ではバックアップシステムのセキュリティ対策はどのように行われていますか？今回のCommvaultの事例は、「修正済み」とされるパッチでも脆弱性が残る可能性を示しています。ベンダーの発表を鵜呑みにせず、重要システムの独自検証や多層防御の構築が重要かもしれません。もしバックアップシステムのセキュリティ強化に取り組まれている方がいらっしゃれば、どのような対策を講じているか、ぜひSNSでシェアしていただけると嬉しいです。