Rackspace: el ataque de ransomware omitió las mitigaciones de ProxyNotShell

La empresa de servicios de alojamiento en la nube administrados Rackspace Technology ha confirmado que el ataque masivo de ransomware del 2 de diciembre que interrumpió los servicios de correo electrónico para miles de sus clientes de pequeñas y medianas empresas se produjo a través de un exploit de día cero contra una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF). en Microsoft Exchange Server, también conocido como CVE-2022-41080.

"Ahora estamos muy seguros de que la causa raíz en este caso se relaciona con un exploit de día cero asociado con CVE-2022-41080", dijo Karen O'Reilly-Smith, directora de seguridad de Rackspace, a Dark Reading en una respuesta por correo electrónico. “Microsoft reveló CVE-2022-41080 como una vulnerabilidad de escalada de privilegios y no incluyó notas por ser parte de una cadena de ejecución remota de código que era explotable”.

CVE-2022-41080 es un error que Microsoft parcheado en noviembre. 

Un asesor externo de Rackspace le dijo a Dark Reading que Rackspace había postergado la aplicación del parche ProxyNotShell en medio de preocupaciones sobre los informes de que causaba "errores de autenticación" que la empresa temía que pudieran derribar sus servidores Exchange. Rackspace había implementado previamente las mitigaciones recomendadas por Microsoft para las vulnerabilidades, que Microsoft había considerado una forma de frustrar los ataques.

Rackspace contrató a CrowdStrike para ayudar con la investigación de la infracción y la empresa de seguridad compartió sus hallazgos en una publicación de blog que detalla cómo el grupo de ransomware Play estaba empleando una nueva técnica para activar la falla ProxyNotShell RCE de próxima etapa conocida como CVE-2022-41082 usando CVE-2022-41080. La publicación de CrowdStrike no nombró a Rackspace en ese momento, pero el asesor externo de la compañía le dice a Dark Reading que la investigación sobre el método de derivación de mitigación de Play fue el resultado de la investigación de CrowdStrike sobre el ataque al proveedor de servicios de alojamiento.

Microsoft le dijo a Dark Reading el mes pasado que, si bien el ataque pasa por alto las mitigaciones de ProxyNotShell emitidas anteriormente, no pasa por alto el parche real. 

Parchear es la respuesta si puede hacerlo”, dice el asesor externo, señalando que la empresa había sopesado seriamente el riesgo de aplicar el parche en un momento en que se decía que las mitigaciones eran efectivas y el parche conllevaba el riesgo de acabar con su servidores. “Evaluaron, consideraron y sopesaron [el riesgo] que conocían” en ese momento, dice el asesor externo. La empresa aún no ha aplicado el parche ya que los servidores siguen caídos. 

Un portavoz de Rackspace no comentó si Rackspace había pagado a los atacantes de ransomware.