CVE-2025-34028: Vulnerabilidad crítica en Commvault Command Center añadida al catálogo KEV de CISA
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha incluido una vulnerabilidad de máxima severidad en Commvault Command Center en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La falla, identificada como CVE-2025-34028 con un puntaje CVSS de 10.0, representa un riesgo significativo para las organizaciones que utilizan esta solución de gestión de datos.
Detalles técnicos de la vulnerabilidad
CVE-2025-34028 es una vulnerabilidad de tipo path traversal que afecta específicamente a la versión 11.38 Innovation Release de Commvault Command Center. Este tipo de vulnerabilidad permite a un atacante acceder a directorios y archivos fuera del directorio raíz previsto, potencialmente exponiendo información sensible o permitiendo la ejecución de código arbitrario.
Las características técnicas clave incluyen:
- Puntaje CVSS máximo (10.0), indicando impacto crítico
- No requiere autenticación para ser explotada (vector de ataque de red)
- Baja complejidad de explotación
- Impacto completo en confidencialidad, integridad y disponibilidad
Implicaciones de seguridad
La inclusión en el catálogo KEV de CISA indica que esta vulnerabilidad está siendo activamente explotada en entornos reales. Las organizaciones afectadas enfrentan múltiples riesgos:
- Exposición de datos de respaldo sensibles
- Posibilidad de compromiso total del sistema
- Riesgo de movimientos laterales dentro de la red
- Potencial para ataques ransomware contra infraestructuras de backup
Recomendaciones de mitigación
Commvault ha emitido parches para abordar esta vulnerabilidad. Las acciones recomendadas incluyen:
- Aplicar inmediatamente las actualizaciones proporcionadas por el fabricante
- Restringir el acceso a las interfaces de administración de Commvault
- Implementar controles de segmentación de red
- Monitorear registros de acceso para detectar intentos de explotación
Organizaciones federales estadounidenses tienen hasta el 22 de mayo de 2025 para aplicar los parches, según los requisitos de CISA. Sin embargo, todas las empresas afectadas deberían priorizar esta actualización debido a la gravedad de la vulnerabilidad.
Contexto de amenazas actual
Esta adición al catálogo KEV ocurre en un momento de aumento de ataques contra sistemas de backup y recuperación. Los actores de amenazas reconocen el valor estratégico de comprometer estas soluciones, ya que:
- Proporcionan acceso a grandes volúmenes de datos
- Suelen tener privilegios elevados en la infraestructura
- Son objetivos frecuentemente descuidados en estrategias de seguridad
Para más detalles sobre la vulnerabilidad y las acciones recomendadas, consulta la Fuente original.
