在数字化转型与业务持续性需求推动下,企业依赖数据保护与备份平台保障关键数据的安全与可用性。作为市场领先者之一,Commvault凭借其强大的企业级备份与恢复能力,赢得了众多大型企业和管理服务提供商的青睐。然而,近期研究人员揭示了Commvault系统中存在的重大安全隐患——未经身份验证即可触发的远程代码执行漏洞,敲响了备份解决方案安全性的警钟。 备份平台为何成为攻击重点备份与恢复解决方案不仅存储着企业核心的业务数据,更承担着自动化任务执行、多系统集成与关键账户凭据存储的重任。一旦被恶意入侵,攻击者不仅能破坏数据完整性,还能借助系统中管理员级别的凭证实现更大范围的横向渗透。既有的勒索软件攻击也理所当然将目标瞄准这些潜在的“金矿”。
Commvault漏洞追踪与揭秘研究人员采用了细致的环境部署和逆向分析方法,全面拆解了Commvault Innovation Release 11.38.20版本的Windows本地部署。通过网络端口扫描,他们发现关键的Web服务均由Tomcat进程承载,利用反编译技术梳理了大量的应用逻辑及路由接口。 逆向工程揭示了系统中存在大量以.do后缀结尾的接口,这一特征通常与Apache Struts框架相关,但实际中该系统未检测到Struts配置文件,意味着路由机制采用了自定义方式绑定请求与处理方法。研究人员通过关键词搜索,定位了多个开放的、不需认证即可访问的接口,为进一步挖掘漏洞打下基础。 预认证接口中的“deployWebpackage.do”引发关注。该接口允许POST请求提交三个核心参数,其中commcellName参数直接拼接使用在服务器发起的HTTPS请求中,缺乏严格校验。
此设计带来了明显的服务端请求伪造(SSRF)风险,攻击者可诱使服务器向任意主机发送请求,进而访问本地网络或互联网中的敏感资源。 漏洞链条深化攻击更惊人的是,研究人员发现系统会将发起的HTTP请求响应数据流写入服务器磁盘,并解压缩后部署。该过程涉及对文件路径的拼接,servicePack参数控制路径位置,原本应限制在特定目录,但缺乏充分的路径校验,攻击者能够利用路径穿越技巧,将恶意文件部署至任意可被Web服务访问的目录。 这种典型的SSRF与任意文件写入联合,不仅实现了远程文件部署,还可借助恶意JSP文件获得远程代码执行权限。测试环境中,研究团队成功构造并部署了恶意Web上传后门,未经过身份认证,便能执行任意系统命令,攻破了Commvault的零信任防护承诺。 类似的部署逻辑在平行的“deployServiceCommcell.do”接口中也存在,这一接口支持上传文件的多部分请求,降低了攻击环境中受限HTTP出站访问的需求,扩大了攻击的适用范围与弹性。
企业应对安全风险的启示这种漏洞的存在提醒企业,备份与恢复系统不仅仅是数据存储的“最后防线”,更是潜在的攻击入口。应对这种风险,企业需从多个层面着手。首先,确保备份软件及时应用官方补丁。Commvault于2025年4月针对该漏洞发布了11.38.20及以上版本的修复补丁,快速响应体现了安全的重要性及责任感。其次,采取细粒度的网络访问控制,限制备份服务器对外和跨网络的访问权限,降低SSRF攻击的可能。另外,启用文件系统监控、日志审计及入侵检测工具,增强对异常文件写操作和反常网络行为的发现能力。
全面审计备份环境的接口与配置,排查不必要或过于宽松的访问策略,尤其是各种预认证端点,是防止未授权访问的关键。对敏感参数做严格的输入验证与白名单过滤,避免路径穿越和非法请求构造,技术开发层面的代码审查与安全测试同样不可忽视。 备份安全的未来展望此事件凸显了现代企业安全管理中备份与恢复方案的重要地位和风险严峻性。随着攻击手法不断精进,数据保护系统的安全防护必须从传统的被动防御逐渐向主动检测和快速响应升级。借助持续安全测试平台,例如watchTowr提供的自动化攻防演练和攻击面管理,可以帮助安全团队实时评估脆弱性,快速应对新威胁。 此外,零信任架构理念应被深度植入备份系统设计,最小权限原则、强身份认证、多因素验证及异常活动阻断等措施均应列入建设重点。
供应链安全也不容忽视,确保所有集成组件和第三方库均已通过严格安全审核。 结语备份系统的安全不仅关乎数据完整与恢复能力,更直接影响企业的业务连续性与声誉。Commvault远程代码执行漏洞事件再次警醒所有企业,数据防护解决方案必须同步强化安全防护措施,从研发到部署全过程严防死守。唯有如此,方能在复杂多变的网络安全威胁面前稳固“保险库”,守护数字未来的财富安全。
