A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou na última quinta-feira (23) para possíveis ataques cibernéticos mais amplos envolvendo provedores de software como serviço (SaaS), com foco em falhas de configuração e segredos de aplicativos na nuvem. O caso mais recente envolve a empresa Commvault, que está monitorando atividades suspeitas em seu ambiente Microsoft Azure, onde hospeda sua solução de backup SaaS para Microsoft 365 (M365).

Segundo a CISA, agentes mal-intencionados podem ter acessado credenciais de clientes armazenadas pela Commvault, obtendo assim acesso não autorizado aos ambientes M365 dos usuários. A agência acredita que essa atividade faça parte de uma campanha mais ampla contra infraestruturas na nuvem com configurações padrão e permissões elevadas. Em fevereiro de 2025, a Microsoft notificou a Commvault sobre um acesso não autorizado por um ator estatal, o que levou à descoberta de uma vulnerabilidade crítica (CVE-2025-3928) no servidor web da empresa.

Essa falha permitia que atacantes autenticados criassem e executassem comandos maliciosos remotamente. A Commvault afirmou que já adotou medidas corretivas, como a rotação de credenciais de aplicativos, e garantiu que não houve comprometimento dos dados de backup dos clientes. Como resposta, a CISA recomenda práticas como monitoramento de logs do Microsoft Entra, restrição de acesso a IPs confiáveis e uso de firewall de aplicações web para bloquear tentativas suspeitas de exploração.