Um recente ataque cibernético à empresa americana Commvault acendeu um alerta global sobre os riscos que ameaçam os provedores de Software como Serviço (SaaS). A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA, na sigla em inglês) emitiu um comunicado reforçando a gravidade da violação, especialmente para empresas que utilizam soluções baseadas em nuvem, como o Metallic, plataforma de backup e recuperação da Commvault hospedada na infraestrutura da Microsoft Azure.
A CISA afirma que agentes mal-intencionados — possivelmente patrocinados por Estados — podem ter tido acesso não autorizado aos chamados “segredos de aplicação”, elementos sensíveis que, quando comprometidos, permitem o controle de ambientes Microsoft 365 dos clientes da Commvault. Esses dados estavam armazenados pela própria empresa como parte de sua solução de backup SaaS para o Microsoft 365. Em outras palavras, o ataque pode ter aberto uma brecha direta para ambientes corporativos inteiros, com acesso privilegiado e silencioso.
O episódio ganhou novos contornos quando a Microsoft alertou a Commvault sobre uma campanha cibernética sofisticada em curso, ligada a uma vulnerabilidade grave — uma falha do tipo zero-day — identificada como CVE-2025-3928. O erro afetava diretamente o servidor web da Commvault e poderia ser explorado remotamente por atacantes autenticados, sem a necessidade de ações por parte dos usuários. A falha foi rapidamente corrigida em atualizações para múltiplas versões dos sistemas Windows e Linux, conforme divulgado em 28 de abril.
Apesar da correção técnica, os danos potenciais continuam sendo analisados. A CISA incorporou a falha ao seu catálogo de vulnerabilidades conhecidas e exploradas (KEV) e impôs às agências federais civis um prazo de três semanas para garantir a aplicação dos patches. O órgão também observa que esse ataque pode fazer parte de uma ofensiva mais ampla que visa aplicações em nuvem com configurações padrão e permissões excessivas — brechas comuns em ambientes SaaS pouco monitorados.
Como forma de conter os riscos, a agência norte-americana recomenda uma série de medidas de mitigação para empresas em todo o mundo, especialmente aquelas que dependem de serviços SaaS. Entre as ações sugeridas estão: análise detalhada dos logs de auditoria do Microsoft Entra (antigo Azure AD), revisão dos registros de aplicações e dos chamados service principals, além de um monitoramento contínuo de atividades incomuns.
Este caso evidencia, mais uma vez, que a segurança na nuvem não se resume à infraestrutura do provedor, mas exige um ecossistema robusto de governança digital, controle de acessos e revisão periódica de configurações. Com o avanço das ameaças patrocinadas por Estados e o uso de vulnerabilidades ainda desconhecidas (zero-days), o setor empresarial precisa reforçar seu compromisso com uma cibersegurança proativa, estratégica e adaptada aos riscos modernos.
Foto: Reprodução
