Los hackers estatales usaron un 0Day para infiltrarse en las nubes estadounidenses a través de Commvault

Un ciberataque contra la infraestructura en la nube de la empresa Commvault provocó un acceso no autorizado a los datos de clientes que utilizan el servicio de copia de seguridad de Microsoft 365 a través de la plataforma Metallic. Así lo informó la agencia CISA, señalando la actividad de actores maliciosos en el entorno en la nube de Microsoft Azure.

Según la agencia, los atacantes podrían haber accedido a datos confidenciales, en particular a secretos de clientes utilizados para conectarse a la copia de seguridad de Microsoft 365. Estos datos se almacenaban en el entorno Azure de Commvault y, probablemente, permitieron a los atacantes infiltrarse en entornos internos de M365 de varias empresas clientes.

La brecha afectó al software Metallic —la solución en la nube de Commvault que proporciona servicios de copia de seguridad como SaaS (software como servicio)—. La agencia indicó que el incidente podría formar parte de una campaña masiva dirigida contra proveedores de software en la nube con configuraciones vulnerables y permisos predeterminados excesivos.

La notificación inicial sobre actividad sospechosa provino de Microsoft en febrero de 2025. Según el informe de la propia Commvault, la investigación reveló que un grupo de hackers estatal explotó una vulnerabilidad previamente desconocida en el servidor web de la empresa (CVE-2025-3928). Esta vulnerabilidad permitía a un usuario remoto autenticado ejecutar webshells en el servidor.

El equipo de Commvault explicó que los atacantes utilizaron técnicas avanzadas para acceder a claves de autorización confidenciales que los clientes usaban para conectarse a M365. Aunque la empresa enfatizó que las copias de seguridad no fueron afectadas, algunas credenciales podrían haberse visto comprometidas.

Como respuesta al incidente, Commvault rotó todas las credenciales de M365 y reforzó el control sobre los servicios en la nube. La empresa sigue colaborando con organismos gubernamentales y socios del sector para continuar analizando la situación.

Los especialistas propusieron una serie de medidas para mitigar los riesgos:

• monitoreo de los registros de auditoría de Entra en busca de cambios no autorizados o adiciones de credenciales vinculadas a las aplicaciones de Commvault;
• análisis de registros de Microsoft (auditoría de Entra, inicio de sesión de Entra, registros de auditoría unificados) y realización de tareas internas de caza de amenazas;
• para aplicaciones de un solo usuario: implementación de políticas de acceso condicional que limiten la autenticación de componentes de servicio de Commvault a direcciones IP de confianza;
• verificación de la lista de registros de aplicaciones y principales de servicio de Entra con privilegios elevados;
• restricción del acceso a las interfaces de administración de Commvault únicamente a redes confiables;
• configuración de un firewall de aplicaciones web (WAF) para bloquear intentos de evasión de rutas y cargas de archivos sospechosas, así como eliminar el acceso externo a las aplicaciones de Commvault.

Este incidente subraya la importancia de proteger la infraestructura en la nube y de responder de manera oportuna a las amenazas. Como demuestran los estudios, los ataques modernos a sistemas corporativos son cada vez más sofisticados y utilizan nuevos vectores para comprometer servicios en la nube.