CISA warnt vor umfassender SaaS-Angriffswelle auf Cloud-Anwendungen : Wie Angreifer eine Zero-Day in Commvaults Azure-Backup-Dienst nutzten – und warum viele SaaS-Umgebungen gefährdet sind
Ein aktueller Sicherheitsvorfall beim Backup-Anbieter Commvault offenbart die systemischen Schwächen vieler Software-as-a-Service-Plattformen: Fehlkonfigurationen, zu weitreichende Berechtigungen und unzureichend geschützte App-Geheimnisse machen Cloud-Infrastrukturen zunehmend zum Ziel staatlich gelenkter Angreifer.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung veröffentlicht, in der sie über verdächtige Aktivitäten gegen die SaaS-Lösung „Metallic“ von Commvault informiert. Das Backup-Angebot läuft in der Azure-Cloud von Microsoft und sichert Microsoft-365-Daten. Offenbar konnten Angreifer auf gespeicherte App-Credentials zugreifen – Zugangsdaten, die für die Authentifizierung der Kundensysteme in der Cloud genutzt werden. Dadurch konnten sie auf Microsoft-365-Umgebungen zahlreicher Commvault-Kunden zugreifen.
Die Hintergründe sind besorgniserregend: Bereits im Februar 2025 informierte Microsoft den Anbieter über einen erfolgreichen Angriff durch einen staatlich gelenkten Akteur. Weitere Untersuchungen zeigten, dass die Angreifer eine Zero-Day-Schwachstelle (CVE-2025-3928) im Commvault Web Server ausnutzten, um Webshells zu platzieren und Kontrolle über Systeme zu gewinnen.
Angriffsserie auf SaaS-Infrastrukturen vermutet
Die CISA hält es für wahrscheinlich, dass dieser Vorfall Teil einer größeren Kampagne ist, die sich gezielt gegen verschiedene Anbieter von Software-as-a-Service-Lösungen richtet. Im Visier stehen offenbar vor allem Cloud-Infrastrukturen mit Standardkonfigurationen und überprivilegierten Zugriffsrechten.
„Branchenexperten zufolge nutzt der Angreifer sehr ausgeklügelte Methoden, um in Microsoft-365-Umgebungen von Kunden einzudringen“, teilte Commvault mit. „Möglicherweise hat er dabei Zugangsdaten für Anwendungen erbeutet, mit denen sich einige Kunden bei ihren Microsoft-365-Diensten anmelden.“
Zwar versichert das Unternehmen, dass keine Backup-Daten entwendet wurden, hat aber vorsorglich App-Zugangsdaten ausgetauscht und weitere Sicherheitsmaßnahmen eingeleitet.
Empfehlungen für Unternehmen und Administratoren
Um sich gegen vergleichbare Angriffe zu schützen, rät CISA zu mehreren konkreten Schritten:
- Überwachung der Entra-Audit-Logs auf unerlaubte Änderungen an Service-Principals, die durch Commvault-Anwendungen vorgenommen wurden
- Interne Bedrohungsanalysen sowie Auswertung von Microsoft-Protokollen, etwa Entra-Sign-In-Logs oder Unified Audit Logs
- Einschränkung der Authentifizierung von Single-Tenant-Anwendungen auf erlaubte IP-Adressen aus Commvaults Netzwerk
- Prüfung von App-Registrierungen und Service-Principals auf überhöhte Berechtigungen
- Beschränkung des Zugriffs auf Commvault-Managementoberflächen auf vertrauenswürdige Netzwerke
- Einsatz von Web Application Firewalls zum Schutz vor Path-Traversal- und Datei-Upload-Angriffen sowie Entfernung externer Zugangsmöglichkeiten
CISA hat die betroffene Schwachstelle CVE-2025-3928 inzwischen in ihren Katalog „Known Exploited Vulnerabilities“ aufgenommen und ermittelt gemeinsam mit Partnerorganisationen weiter. Der Vorfall zeigt einmal mehr: Cloud-Dienste bieten nicht nur Komfort, sondern auch ein vergrößertes Angriffsrisiko – insbesondere, wenn zentrale Sicherheitsprinzipien wie Least Privilege und sichere Schlüsselverwaltung vernachlässigt werden.