شرکت خدمات میزبانی ابری مدیریت شده Rackspace Technology تأیید کرده است که حمله گسترده باج افزار دوم دسامبر که خدمات ایمیل هزاران مشتری تجاری کوچک تا متوسط خود را مختل کرد، از طریق یک سوء استفاده روز صفر در برابر آسیب پذیری جعل درخواست سمت سرور (SSRF) رخ داد. در Microsoft Exchange Server، با نام مستعار CVE-2022-41080.
Karen O'Reilly-Smith، افسر ارشد امنیتی Rackspace در پاسخ ایمیلی به Dark Reading گفت: "اکنون بسیار مطمئن هستیم که علت اصلی در این مورد مربوط به یک سوء استفاده روز صفر مرتبط با CVE-2022-41080 است." مایکروسافت CVE-2022-41080 را بهعنوان آسیبپذیری افزایش امتیاز فاش کرد و یادداشتهایی را برای بخشی از زنجیره اجرای کد از راه دور که قابل بهرهبرداری بود، درج نکرد.
CVE-2022-41080 یک باگ است که مایکروسافت دارد در نوامبر وصله شد.
یکی از مشاوران خارجی Rackspace به Dark Reading گفت که Rackspace از اعمال وصله ProxyNotShell به دلیل نگرانیها درباره گزارشهایی مبنی بر ایجاد «خطاهای احراز هویت» که شرکت میترسید سرورهای Exchange خود را حذف کند، خودداری کرده است. Rackspace قبلاً کاهشدهندههای توصیه شده مایکروسافت برای آسیبپذیریها را اجرا کرده بود، که مایکروسافت آن را راهی برای خنثی کردن حملات تلقی کرده بود.
Rackspace CrowdStrike را برای کمک به تحقیقات نقض خود استخدام کرد و این شرکت امنیتی یافتههای خود را در یک پست وبلاگ به اشتراک گذاشت که جزئیات نحوه عملکرد گروه باجافزار Play را نشان میداد. استفاده از یک تکنیک جدید برای راهاندازی نقص مرحله بعدی ProxyNotShell RCE معروف به CVE-2022-41082 با استفاده از CVE-2022-41080. در پست CrowdStrike در آن زمان نامی از Rackspace ذکر نشد، اما مشاور خارجی شرکت به Dark Reading میگوید که تحقیق در مورد روش بایپس کاهشی Play نتیجه تحقیقات CrowdStrike در مورد حمله به ارائهدهنده خدمات میزبانی است.
مایکروسافت ماه گذشته به Dark Reading گفت که در حالی که این حمله اقدامات کاهشی ProxyNotShell را دور می زند، اما از خود پچ واقعی عبور نمی کند.
اگر میتوانید این کار را انجام دهید، پچ کردن راه حل است. سرورها مشاور خارجی می گوید: «آنها [ریسک] را که در آن زمان می دانستند، ارزیابی، در نظر گرفتند و سنجیدند». از آنجایی که سرورها از کار افتاده اند، این شرکت هنوز این وصله را اعمال نکرده است.
سخنگوی Rackspace در مورد اینکه آیا Rackspace به مهاجمان باجافزار پول پرداخت کرده است توضیحی نداد.