ISGroup Conseil en Cybersécurité

Exécution de code à distance pré-authentifiée via SSRF et écriture arbitraire de fichiers dans Commvault Innovation Release 11.38.x (CVE-2025-34028)

Commvault est une plateforme de sauvegarde et de protection des données largement adoptée au niveau de l’entreprise, disponible à la fois en tant que solution SaaS et sur site (on-premise). Les grandes organisations et les fournisseurs de services gérés déploient couramment l’appliance Windows sur site (Innovation Release 11.38.x) dans des environnements exigeant des normes de sécurité élevées et des contrôles de type « zero-trust ».

Date05/05/2025 09:50:14
Informations
  • Tendance
  • Correctif disponible

Résumé technique

Un attaquant peut exploiter deux points de terminaison non authentifiés — deployWebpackage.do et deployServiceCommcell.do — pour obtenir l’exécution de code à distance en combinant :

  1. Injection SSRF

    • Le paramètre commcellName est interpolé directement dans une requête HTTPS GET (https://<commcellName>/commandcenter/webpackage.do) sans validation du nom d’hôte.
    • Cela permet au serveur de récupérer du contenu contrôlé par l’attaquant depuis des hôtes arbitraires.

  2. Écriture arbitraire de fichiers et traversée de répertoire

    • La réponse récupérée (généralement une archive ZIP) est écrite sur le disque dans un chemin dérivé du paramètre servicePack.
    • En insérant des séquences de traversée de chemin (ex. ../../Reports/MetricsUpload/shell/), un attaquant peut écrire des fichiers dans des répertoires accessibles par le web tels que /Reports/MetricsUpload/….

  3. Chargement et exécution de fichiers JSP

    • Une archive ZIP malveillante contenant des charges utiles .jsp est extraite dans le répertoire de destination (ex. …/shell/.tmp/dist-cc/dist-cc/).
    • L’attaquant envoie ensuite une requête HTTP GET vers le fichier JSP déployé, obtenant ainsi l’exécution de code arbitraire sous le processus Tomcat.

  4. Chargement alternatif via multipart

    • Le point de terminaison deployServiceCommcell.do accepte un chargement de fichier multipart, évitant complètement la récupération HTTP externe et fournissant directement du contenu ZIP non fiable à la même routine de déploiement vulnérable.

Recommandations

  • Correctif immédiat : Mettre à jour toutes les appliances sur site vers la version Innovation Release 11.38.20 ou supérieure, conformément au bulletin de sécurité CV202504_1 de Commvault.

  • Contrôles réseau : Implémenter des filtres de sortie (egress) ou des listes blanches d’hôtes pour prévenir les attaques SSRF — bloquer les noms d’hôtes/IP non fiables que le serveur de sauvegarde peut atteindre.

  • Validation des entrées : Assurer la désinfection côté serveur de tous les paramètres fournis par l’utilisateur utilisés dans des contextes de système de fichiers ou de requêtes HTTP.

  • Principe du moindre privilège : Exécuter les services Commvault avec un compte dédié disposant d’un accès en écriture minimal — empêcher les écritures dans la racine web et les répertoires de configuration.

  • Surveillance et détection :

    • Vérifier les journaux pour détecter les appels inattendus vers deployWebpackage.do et deployServiceCommcell.do.
    • Effectuer des analyses pour identifier la création de fichiers ZIP suspects ou de nouveaux fichiers JSP dans des répertoires accessibles par le web.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *