Ciber Güvenlikte Son Gelişmeler: Commvault Olayı
Son zamanlarda, siber güvenlik alanında yaşanan olaylar, özellikle bulut hizmet sağlayıcıları için önemli bir alarm durumu oluşturdu. 23 Mayıs 2025 tarihinde, ABD’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Commvault’un Microsoft Azure bulut ortamındaki uygulamalarına yönelik bir siber tehdit etkinliğini izlediğini açıkladı. Bu durum, bulut teknolojilerinin ne kadar kritik bir hale geldiğini ve bu sistemlerin güvenliğinin sürekli olarak gözden geçirilmesi gerektiğini bir kez daha ortaya koyuyor.
CISA, "Tehdit aktörleri, Commvault’un (Metallic) Microsoft 365 (M365) yedekleme yazılımı için sunulan hizmet olarak yazılım (SaaS) çözümünün istemci sırlarını ele geçirebilmiş olabilir" şeklinde bir açıklama yaptı. Bu, siber saldırganların Commvault müşterilerinin M365 ortamlarına yetkisiz erişim sağlamasına neden oldu. Bu tür hadiseler, bulut hizmet sağlayıcıların kendilerine özgü zafiyetler barındırdığını gösteriyor.
Olayın Boyutu ve Zafiyetler
Commvault’un durumu, bir ulus-devlet tehdidi aktörünün Azure ortamında yetkisiz etkinlikte bulunduğunun bildirilmesinin hemen ardından gündeme geldi. Bu olay, zero-day zafiyeti (CVE-2025-3928) üzerinden gerçekleştirildi. Zero-day zafiyeti, güvenliğin sağlanamadığı ve daha önce keşfedilmemiş bir açığı ifade eder. Burada, Commvault Web Sunucusu’ndaki tanımlanamayan bir hata, uzaktan yetkilendirilmiş bir saldırganın web shell’leri oluşturup çalıştırmasına olanak tanıdı.
Commvault, bu şok edici durumu aydınlatmak ve güvenlik önlemlerini artırmak için çeşitli tedbirler aldığını açıkladı. Müşterinin M365 ortamlarına erişim sağlamak için kullanılan uygulama kimlik bilgilerini döndürdüklerini vurguladılar. Ancak, bu süreçte, müşteri yedekleme verilerine yetkisiz erişim sağlanmadığı ifade edildi.
CISA’nın Önerileri
CISA, bu tür tehditlerle başa çıkmak için kullanıcılara ve yöneticilere birkaç öneride bulundu:
Entra denetim günlüklerini izlemek: Unauthorized değişikliklerin veya Commvault uygulamaları tarafından başlatılan hizmet ilkelerinin kimlik bilgilerine eklenmesini kontrol etmek.
Microsoft günlüklerini gözden geçirmek: Entra denetim, Entra oturumu açma, birleşik denetim günlükleri gibi kaynakları incelemek ve iç tehdit avcılığı yapmak.
Tekil kiracı uygulamaları için koşullu erişim politikası: Bir uygulama hizmet ilkesi için kimlik doğrulamayı, Commvault’un izinli IP adresleri aralığında onaylı bir IP adresine sınırlandırmak.
Uygulama Kayıtları ve Hizmet İlkeleri listelerini gözden geçirmek: Yüksek yetkiler için iş gereksinimlerini aşan yönetici izni olanların kontrol edilmesi.
Commvault yönetim arayüzlerine erişimi kısıtlamak: Güvenilir ağlar ve yönetim sistemleri ile kısıtlama getirilmesi.
- Web Uygulama Güvenlik Duvarı kullanmak: Patika geçişi girişimlerini ve şüpheli dosya yüklemelerini tespit edip engellemek amacıyla.
Bu öneriler, hem kullanıcılar hem de hizmet sağlayıcılar için oldukça kritiktir. Güvenlik açıklarının kapatılması ve olası saldırılara karşı hazırlıklı olunması gerekiyor.
Commvault’un Almış Olduğu Tedbirler
Commvault, zafiyeti tespit ettikten sonra yalnızca uygulama kimlik bilgilerini döndürmekle kalmayıp, aynı zamanda güvenlik sistemlerini de güncellemeye gitti. Müşteri güvenliğini sağlamak için sürekli olarak sistemlerini gözden geçiren ve güvenlik postürlerini güçlendiren bir yaklaşım benimsiyorlar. Müşterilere yönelik bu tür saldırılar karşısında, Commvault’un hızlı ve etkili yanıt verme yeteneği, şirketin güvenilirliğini artırıyor.
Sonuç Olarak,
Commvault olayı, bulut altyapılarında güvenliğin ne kadar kritik olduğunu gözler önüne seriyor. Kullanıcıların ve yöneticilerin dikkatli olması, mevcut zafiyetleri göz önünde bulundurması ve gerekli önlemleri alması gerekiyor. Uzun bir süre boyunca siber tehditlerin daha da artacağı kestiriliyor. Dolayısıyla, her bir işletmenin eyalet bazında veya ulusal bazda güvenlik protokollerini sürekli olarak güncel tutması gerekmektedir. Bu konudaki farkındalığın artırılması, siber güvenlik stratejilerinin başarıya ulaşmasını sağlamada büyük bir öneme haizdir.
