পরিচালিত ক্লাউড হোস্টিং পরিষেবা সংস্থা র্যাকস্পেস টেকনোলজি নিশ্চিত করেছে যে 2 ডিসেম্বরের বিশাল র্যানসমওয়্যার আক্রমণ যা তার হাজার হাজার ছোট থেকে মাঝারি আকারের ব্যবসায়িক গ্রাহকদের ইমেল পরিষেবাগুলিকে ব্যাহত করেছিল সার্ভার-সাইড অনুরোধ জালিয়াতি (SSRF) দুর্বলতার বিরুদ্ধে শূন্য-দিনের শোষণের মাধ্যমে এসেছিল। মাইক্রোসফট এক্সচেঞ্জ সার্ভারে, ওরফে সিভিই- 2022-41080।
"আমরা এখন অত্যন্ত আত্মবিশ্বাসী যে এই ক্ষেত্রে মূল কারণটি CVE-2022-41080 এর সাথে যুক্ত একটি শূন্য-দিনের শোষণের সাথে সম্পর্কিত," র্যাকস্পেসের প্রধান নিরাপত্তা কর্মকর্তা কারেন ও'রিলি-স্মিথ একটি ইমেল প্রতিক্রিয়ায় ডার্ক রিডিংকে বলেছেন। "Microsoft CVE-2022-41080 একটি বিশেষাধিকার বৃদ্ধির দুর্বলতা হিসাবে প্রকাশ করেছে এবং একটি রিমোট কোড এক্সিকিউশন চেইনের অংশ হওয়ার জন্য নোট অন্তর্ভুক্ত করেনি যা শোষণযোগ্য ছিল।"
CVE-2022-41080 একটি বাগ যা মাইক্রোসফট নভেম্বরে প্যাচ করা হয়েছে.
Rackspace-এর একজন বাহ্যিক উপদেষ্টা ডার্ক রিডিংকে বলেছেন যে Rackspace ProxyNotShell প্যাচ প্রয়োগ করা বন্ধ করে দিয়েছে যে রিপোর্ট নিয়ে উদ্বেগের মধ্যে যে এটি "প্রমাণিকরণ ত্রুটি" সৃষ্টি করেছে যে কোম্পানিটি তার এক্সচেঞ্জ সার্ভারগুলিকে নামিয়ে নিতে পারে বলে আশঙ্কা করেছিল। Rackspace পূর্বে দুর্বলতার জন্য মাইক্রোসফ্টের প্রস্তাবিত প্রশমন বাস্তবায়ন করেছিল, যা মাইক্রোসফ্ট আক্রমণগুলিকে ব্যর্থ করার একটি উপায় বলে মনে করেছিল।
Rackspace তার লঙ্ঘন তদন্তে সাহায্য করার জন্য CrowdStrike নিয়োগ করেছে, এবং নিরাপত্তা ফার্ম একটি ব্লগ পোস্টে তার ফলাফল শেয়ার করেছে যে Play ransomware গ্রুপটি কেমন ছিল একটি নতুন কৌশল নিযুক্ত করা CVE-2022-41082 ব্যবহার করে CVE-2022-41080 নামে পরিচিত পরবর্তী পর্যায়ের ProxyNotShell RCE ত্রুটিটিকে ট্রিগার করতে। CrowdStrike-এর পোস্টে তখন Rackspace-এর নাম ছিল না, কিন্তু কোম্পানির বাহ্যিক উপদেষ্টা ডার্ক রিডিং-কে বলেছেন যে প্লে-এর প্রশমন বাইপাস পদ্ধতি সম্পর্কে গবেষণা হল হোস্টিং পরিষেবা প্রদানকারীর উপর আক্রমণের বিষয়ে CrowdStrike-এর তদন্তের ফলাফল।
মাইক্রোসফ্ট গত মাসে ডার্ক রিডিংকে বলেছিল যে আক্রমণটি পূর্বে জারি করা ProxyNotShell প্রশমনকে বাইপাস করে, এটি প্রকৃত প্যাচকে বাইপাস করে না।
যদি আপনি এটি করতে পারেন তবে প্যাচ করাই উত্তর,” বহিরাগত উপদেষ্টা বলেছেন, কোম্পানিটি এমন সময়ে প্যাচ প্রয়োগের ঝুঁকিকে গুরুত্বের সাথে বিবেচনা করেছিল যখন প্রশমন কার্যকর বলে বলা হয়েছিল এবং প্যাচটি তার নামিয়ে নেওয়ার ঝুঁকি নিয়ে এসেছিল। সার্ভার "তারা মূল্যায়ন করেছে, বিবেচনা করেছে এবং ওজন করেছে [ঝুঁকি] সম্পর্কে তারা জানত" সেই সময়ে, বহিরাগত উপদেষ্টা বলেছেন। সার্ভার ডাউন থাকার কারণে কোম্পানি এখনও প্যাচ প্রয়োগ করেনি।
র্যাকস্পেসের একজন মুখপাত্র র্যাকস্পেস র্যানসমওয়্যার আক্রমণকারীদের অর্থ প্রদান করেছে কিনা সে বিষয়ে মন্তব্য করবেন না।