Hallatav pilvemajutusteenuste ettevõte Rackspace Technology kinnitas, et 2. detsembril toimunud massiline lunavararünnak, mis häiris tuhandete väikeste ja keskmise suurusega äriklientide meiliteenuseid, toimus nullpäevase ärakasutamise teel serveripoolse päringu võltsimise (SSRF) haavatavuse vastu. Microsoft Exchange Serveris, aka CVE-2022-41080.
"Oleme nüüd väga kindlad, et antud juhul on algpõhjus CVE-2022-41080-ga seotud nullpäevane ärakasutamine," ütles Rackspace'i turvaülem Karen O'Reilly-Smith Dark Readingile saadetud vastuses. Microsoft avalikustas CVE-2022-41080 kui privileegide eskalatsiooni haavatavust ega lisanud märkusi selle kohta, et see kuulus ärakasutatavasse koodi kaugkäivitusahelasse.
CVE-2022-41080 on Microsofti viga lapitud novembris.
Rackspace'i väline nõustaja ütles Dark Readingile, et Rackspace hoidis ProxyNotShelli plaastri rakendamist, kuna oli mures teadete pärast, et see põhjustas "autentimisvigu", mille tõttu ettevõte kartis oma Exchange'i serverid maha võtta. Rackspace oli varem rakendanud Microsofti soovitatud haavatavuste leevendusi, mida Microsoft pidas rünnakute takistamiseks.
Rackspace palkas CrowdStrike'i rikkumiste uurimisel appi ning turvafirma jagas oma järeldusi ajaveebipostituses, milles kirjeldati Play lunavaragrupi tegevust. kasutades uut tehnikat järgmise etapi ProxyNotShelli RCE vea käivitamiseks, mida nimetatakse CVE-2022-41082, kasutades CVE-2022-41080. CrowdStrike'i postituses ei nimetatud Rackspace'i toona, kuid ettevõtte väline nõustaja ütleb Dark Readingile, et Play leevendamise möödaviigumeetodi uurimine tulenes CrowdStrike'i uurimisest hostimisteenuste pakkuja rünnaku kohta.
Microsoft ütles eelmisel kuul Dark Readingile, et kuigi rünnak möödub varem välja antud ProxyNotShelli leevendustest, ei lähe see mööda tegelikust plaastrist endast.
Kui saate seda teha, on plaaster lahendus," ütleb välisnõustaja, märkides, et ettevõte oli tõsiselt kaalunud plaastri paigaldamise riski ajal, mil leevendusmeetmed olid tõhusad ja plaastriga kaasnes oht selle maha võtta. serverid. "Nad hindasid, kaalusid ja kaalusid [riski], millest nad sel ajal teadsid", ütleb välisnõustaja. Ettevõte pole ikka veel plaastrit rakendanud, kuna serverid ei tööta.
Rackspace'i pressiesindaja ei kommenteerinud, kas Rackspace maksis lunavararündajatele.