Die IT-Sicherheitslandschaft steht erneut vor einer ernstzunehmenden Herausforderung, nachdem die U.S. Cybersecurity and Infrastructure Security Agency (CISA) eine kritische Schwachstelle im Commvault Command Center in ihre Liste der Known Exploited Vulnerabilities (KEV) aufgenommen hat. Die Schwachstelle, mit der Bezeichnung CVE-2025-34028, trägt die höchste Kritikalität mit einem CVSS-Wert von 10.0 und wird bereits aktiv von Angreifern ausgenutzt.
Diese Entwicklung unterstreicht die Dringlichkeit für Unternehmen und öffentliche Einrichtungen, sich schnell mit den Risiken auseinanderzusetzen und Gegenmaßnahmen zu ergreifen. Commvault ist ein führender Anbieter im Bereich Datensicherung und Management, dessen Software in vielen Unternehmen zur Sicherung sensibler Geschäftsinformationen eingesetzt wird. Die CVE-2025-34028 stellt eine bedrohliche Sicherheitslücke dar, da sie einen Pfad-Traversal-Fehler im Command Center der Versionen 11.38.0 bis 11.
38.19 aufweist. Damit können Angreifer ohne Authentifizierung schädlichen Code ausführen. Konkret ermöglicht die Schwachstelle das Hochladen von manipulierten ZIP-Dateien, die beim Entpacken auf dem Server Code ausführen können. Eine besonders gefährliche Kombination entsteht durch die Nutzung eines Endpunkts namens „deployWebpackage.
do“, der eine vorkonfigurierte Server-Side Request Forgery (SSRF) auslöst. Diese Schwachstelle wurde von der Cybersecurity-Firma watchTowr Labs entdeckt und gemeldet. Die Gefahr liegt darin, dass Angreifer mittels speziell präparierter ZIP-Dateien mit bösartigem Inhalt – beispielsweise schädlicher .JSP-Dateien – die Kontrolle über den betroffenen Server erlangen können. Trotz der bisherigen Erkenntnisse ist noch unklar, in welchem genaueren Kontext die Schwachstelle derzeit ausgenutzt wird.
Allerdings handelt es sich hierbei bereits um die zweite bekannte Commvault-Sicherheitsbedrohung, die aktiv eingesetzt wird. Zuvor war CVE-2025-3928 ein anderes sicherheitsrelevantes Problem in der Commvault-Webserverkomponente, das einen authentifizierten Angreifer befähigt, Webshells zu erstellen und auszuführen. Die Entwickler von Commvault haben die Lücke inzwischen in den Versionen 11.38.20 und 11.
38.25 geschlossen. Allerdings zeigt die Erfahrung, dass allein das Upgrade auf diese Versionen nicht automatisch alle Risiken eliminieren kann. Ergänzende Updates wie SP38-CU20-433, SP38-CU20-436, SP38-CU25-434 und SP38-CU25-438 sind ebenfalls notwendig, um die Schwachstelle vollständig zu beheben. Sicherheitsforscher wie Will Dormann kritisieren die Kommunikationsweise von Commvault in diesem Zusammenhang scharf.
Seiner Ansicht nach wirkt es nachlässig, bei einer extrem kritischen Schwachstelle die Versionsnummern der Patches nicht eindeutig anzuheben und die Kunden nicht klar auf die erforderlichen Zusatzupdates hinzuweisen. Besonders problematisch ist die Tatsache, dass Kunden, die ihre Commvault-Installationen über Cloud-Plattformen wie Microsoft Azure oder Amazon Web Services betreiben, oft nicht automatisch Zugriff auf die notwendigen Updates erhalten. Commvault hat darauf reagiert und einen manuellen Downloadprozess für diese sogenannten „Additional Updates“ eingerichtet, der jedoch Umstände verursacht und Kundenerfahrungen beeinträchtigt. Die Gefahren durch diese Schwachstelle sind weitreichend. Indem Angreifer über einen vorauthentifizierten Pfad Server-Komponenten ansteuern, könnten sie nicht nur das System kompromittieren, sondern im schlimmsten Fall auch Backup-Daten verändern oder löschen.
Für Organisationen, die stark auf ihre Backup- und Wiederherstellungsinfrastruktur angewiesen sind, kann das massive Folgen haben. Um diese Risiken zu minimieren, hat CISA eine Frist für Bundesbehörden im Federal Civilian Executive Branch (FCEB) gesetzt. Bis spätestens 23. Mai 2025 müssen entsprechende Sicherheitsupdates eingespielt werden. Doch auch Unternehmen außerhalb des öffentlichen Sektors sollten die Dringlichkeit erkennen und entsprechend handeln.
Die Entdeckung von CVE-2025-34028 unterstreicht zudem die zunehmende Bedrohungslage für Softwareprodukte, die zentrale Infrastrukturkomponenten darstellen, insbesondere wenn diese über Web-Interfaces zugänglich sind. Die Kombination aus Pfad-Traversal, SSRF und der Möglichkeit, schädliche Dateien einzuschleusen, stellt ein gefährliches Angriffsmuster dar, das von Angreifern mit hohem Initialwissen genutzt wird. IT-Verantwortliche sind angehalten, ihre Commvault-Installationen genau zu überprüfen, um sicherzustellen, dass sowohl Hauptversionen als auch alle zugehörigen Patches und Updates vollständig installiert wurden. Ein weiteres Augenmerk sollte auf das Monitoring von ungewöhnlichen Aktivitäten rund um den „deployWebpackage.do“ Endpunkt gelegt werden.
Erkennungs- und Abwehrmechanismen sollten verstärkt sein, um potenzielle Angriffsmuster schnell zu erkennen und zu stoppen. Es empfiehlt sich außerdem, Kontakte mit dem Softwarehersteller zu pflegen und die offizielle Informationslage regelmäßig zu verfolgen, um auf zukünftige Entwicklungen und weitere Sicherheitshinweise reagieren zu können. Parallel zur technischen Absicherung spielen organisatorische Sicherheitsbestimmungen eine wesentliche Rolle. Unternehmen sollten ihre Mitarbeiter für die Gefahren sensibilisieren und den Umgang mit Firmware- und Software-Updates optimieren. Dabei können automatisierte Update-Management-Lösungen helfen, Verzögerungen oder Fehlkonfigurationen zu vermeiden.
Ein besonderes Augenmerk liegt bei kritischen Komponenten wie Commvault auf der schnellen Umsetzung von Sicherheitspatches, um Angriffsfenster möglichst klein zu halten. Der Fall von CVE-2025-34028 zeigt exemplarisch die Komplexität moderner Softwaresicherheit. Gerade Anbieter, die Innovationsreleases veröffentlichen, stehen vor der Herausforderung, einerseits frühzeitig neue Funktionen bereitzustellen, andererseits aber die Stabilität und Sicherheit zu gewährleisten. Commvaults Innovation Release der Version 11.38 macht dies deutlich, da nur ein eingeschränkter Benutzerkreis als „Pioneer Customers“ angemeldet ist und Updates entsprechend erst später bereitgestellt werden.
Kunden aber, die ihre Systeme direkt über Cloud-Plattformen wie Azure aktivieren, werden nicht automatisch registriert und sehen folglich keine Updates, was die Risiken erhöht. Diese Situation verdeutlicht die Notwendigkeit transparenter und einfach zugänglicher Update-Prozesse. Nutzer müssen jederzeit wissen, ob wichtige Sicherheitsupdates verfügbar sind und wie sie installiert werden können. Die Verzögerung oder Komplikationen bei der Verteilung können unmittelbare Folgen für die Systemsicherheit haben. Letztlich ist die CVE-2025-34028 Warnung ein Appell an Administratoren und Sicherheitsbeauftragte in Unternehmen aller Branchen.
Das Thema Cybersicherheit in der Backup-Infrastruktur darf nicht unterschätzt werden, da Backup-Lösungen häufig als letzter Schutzwall gegen Datenverlust und Ransomware-Angriffe gelten. Eine kompromittierte Backup-Software kann diesen Vorteil jedoch aufheben und Unternehmen in existenzielle Gefahr bringen. Experten empfehlen, neben technischen Maßnahmen auch ein erweitertes Incident-Response-Programm bereitzuhalten, um im Fall einer möglichen Kompromittierung schnell reagieren zu können. Regelmäßige Penetrationstests und Sicherheitsüberprüfungen können zudem helfen, noch unerkannte Schwachstellen zu identifizieren und präventiv zu beheben. Insgesamt zeigt der Fall der Commvault-Schwachstelle CVE-2025-34028 eindrücklich, wie wichtig die kontinuierliche Überwachung, schnelle Reaktion und umfassende Absicherung in der heutigen IT-Sicherheitswelt sind.
Unternehmen sollten diese Warnung ernst nehmen und ihre Schutzmaßnahmen entsprechend verstärken, um das Risiko von Datenverlusten und Systemmanipulationen zu minimieren.
