ISGroup Consultoría de Ciberseguridad

Ejecución remota de código pre-autenticada mediante SSRF y escritura arbitraria de archivos en Commvault Innovation Release 11.38.x (CVE-2025-34028)

Commvault es una plataforma de copia de seguridad y protección de datos ampliamente adoptada a nivel empresarial, disponible tanto como solución SaaS como on-premise. Las grandes organizaciones y los proveedores de servicios gestionados implementan comúnmente el appliance de Windows on-premise (Innovation Release 11.38.x) en entornos que requieren altos estándares de seguridad y controles de tipo zero-trust.

Fecha2025-05-05 09:50:14
Información
  • Tendencia
  • Corrección disponible

Resumen técnico

Un atacante puede aprovechar dos endpoints no autenticados — deployWebpackage.do y deployServiceCommcell.do — para obtener la ejecución remota de código combinando:

  1. Inyección SSRF

    • El parámetro commcellName se interpola directamente en una solicitud HTTPS GET (https://<commcellName>/commandcenter/webpackage.do) sin validación del nombre de host.
    • Esto permite al servidor recuperar contenido controlado por el atacante desde hosts arbitrarios.

  2. Escritura arbitraria de archivos y recorrido de directorios

    • La respuesta recuperada (generalmente un archivo ZIP) se escribe en el disco en una ruta derivada del parámetro servicePack.
    • Al insertar secuencias de recorrido de ruta (ej. ../../Reports/MetricsUpload/shell/), un atacante puede escribir archivos en directorios accesibles desde la web, como /Reports/MetricsUpload/….

  3. Carga y ejecución de JSP

    • Un archivo ZIP malicioso que contiene cargas útiles (payloads) .jsp se extrae en el directorio de destino (ej. …/shell/.tmp/dist-cc/dist-cc/).
    • El atacante envía entonces una solicitud HTTP GET al archivo JSP desplegado, obteniendo la ejecución arbitraria de código bajo el proceso Tomcat.

  4. Carga alternativa mediante multipart

    • El endpoint deployServiceCommcell.do acepta una carga de archivos multipart, evitando por completo la recuperación HTTP externa y proporcionando directamente contenido ZIP no confiable a la misma rutina de despliegue vulnerable.

Recomendaciones

  • Parche inmediato: Actualizar todos los appliances on-premise a la versión Innovation Release 11.38.20 o superior, según el Security Advisory CV202504_1 de Commvault.

  • Controles de red: Implementar filtros de salida (egress) o listas blancas de hosts para prevenir ataques SSRF — bloquear nombres de host/IP no confiables a los que el servidor de respaldo pueda acceder.

  • Validación de entrada: Garantizar la sanitización del lado del servidor de todos los parámetros proporcionados por el usuario que se utilicen en contextos de sistema de archivos o solicitudes HTTP.

  • Principio de privilegio mínimo: Ejecutar los servicios de Commvault con una cuenta dedicada con acceso mínimo de escritura — impedir escrituras en la webroot y en los directorios de configuración.

  • Monitoreo y detección:

    • Revisar los registros (logs) en busca de llamadas inesperadas a deployWebpackage.do y deployServiceCommcell.do.
    • Realizar escaneos para identificar la creación de archivos ZIP sospechosos o nuevos archivos JSP en rutas accesibles desde la web.

[Callforaction-THREAT-Footer]

In