Backupsoftware Commvault: Weitere Lücke angegriffen, Patch braucht Registrierung
Zum Wochenende wurden Angriffe auf eine weitere Commvault-Sicherheitslücke bekannt. Zum Update braucht man eine Registrierung.
(Bild: JLStock/Shutterstock.com)
Am vergangenen Wochenende wurden Angriffe im Internet auf eine weitere Sicherheitslücke in Commvaults Command Center Innovation Release bekannt. Das von Commvault bereitgestellte Update dichtet die Sicherheitslücke offenbar nicht korrekt ab. Inzwischen ist klar, dass die fehlende Registrierung eines IT-Forschers ursächlich war, da dadurch einige Patches nicht installiert wurden – Details finden sich im Update-Kasten am Ende der Meldung.
Die Sicherheitslücke mit den Schwachstelleneinträgen EUVD-2025-12275 respektive CVE-2025-34028 besteht darin, dass Angreifer aus dem Netz ohne vorherige Authentifizierung ZIP-Dateien hochladen können, die beim Entpacken auf dem Zielserver zum Ausführen von darin eingeschmuggelten Schadcode führen können (CVSS 10.0, Risiko "kritisch").
Commvault stellt Software-Update bereit
Gemäß der üblichen Gepflogenheiten hat Commvault mit einem Softwareupdate auf Commvault 11.38.20 für Linux und Windows reagiert. Commvault stellt auch eine eigene Sicherheitsmitteilung bereit, die am heutigen Mittwoch aktualisiert wurde. Nun veröffentlicht der Hersteller weitere Zusatzupdates für 11.38.20 zusätzlich SP38-CU20-433 sowie SP38-CU20-436 und für 11.38.25 noch SP38-CU25-434 sowie SP38-CU25-438.
Videos by heise
Der IT-Sicherheitsforscher Will Dormann hat mit einer virtuellen Maschine mit der Commvault-Software in Version 11.38.25 getestet, ob ein Exploit für die Sicherheitslücke funktioniert.
Dormann schreibt, dass Commvault behauptet, die Versionen 11.38.20 und 11.38.25 besserten die Schwachstelle aus; die IT-Forscher von Watchtowr hätten die Lücke in Version 11.38.20 entdeckt. Da der Proof-of-Concept-Exploit gegen die vermeintlich gefixte Version 11.38.25 funktioniere, habe er da "Vertrauensprobleme". Vor wenigen Stunden hat Dormann die zusätzlichen Updates erwähnt, die Commvault nun in der aktualisierten Sicherheitsmitteilung auflistet. Deren Installation will ihm nicht gelingen. Dadurch ist es ihm auch nicht möglich, deren Wirksamkeit zu prüfen.
IT-Verantwortliche sollten dennoch zügig versuchen, mit dem von Commvault angedachten "Downloading Software On Demand" die Updates und Zusatz-Hotfixes anzuwenden, um sicherzustellen, dass ihre Systeme auf dem aktuellen Stand sind.
Commvault-Sicherheitslücken sind für Cyberkriminelle offenbar attraktiv. Erst in der Vorwoche haben Angreifer eine ebenfalls hochriskante Sicherheitslücke in der Backup-Software missbraucht, EUVD-2025-12508 respektive CVE-2025-3928 (CVSS 8.8, Risiko "hoch").
Ein Sprecher von Commvault hat nun auf unsere diesbezügliche Anfrage reagiert und erklärt, dass Dormann nicht bei Commvault registriert war. "Er konnte das entsprechende Update daher nicht implementieren. Commvault hat den Forscher direkt kontaktiert, um ihn bei dem manuellen Update-Prozess und der Installation des Patch zu begleiten. Der Forscher konnte den Patch erfolgreich aufspielen", erörtert der Unternehmenssprecher. Will Dormann hat einen neuen Beitrag auf Mastodon veröffentlicht, wo er den Prozess beschreibt, wie das Update korrekt anwendbar ist.
(dmk)
