Hallittu pilvipalveluyritys Rackspace Technology on vahvistanut, että joulukuun 2. päivänä tapahtunut massiivinen kiristysohjelmahyökkäys, joka katkaisi tuhansien pienten ja keskisuurten yritysasiakkaiden sähköpostipalvelut, johtui nollapäivän hyväksikäytöstä palvelinpuolen pyyntöväärennösten (SSRF) haavoittuvuutta vastaan. Microsoft Exchange Serverissä, alias CVE-2022-41080.
"Olemme nyt erittäin varmoja, että perimmäinen syy tässä tapauksessa liittyy nollapäiväiseen hyväksikäyttöön, joka liittyy CVE-2022-41080:een", Rackspacen turvallisuusjohtaja Karen O'Reilly-Smith kertoi Dark Readingille sähköpostivastauksessa. "Microsoft paljasti CVE-2022-41080:n käyttöoikeuksien eskalaatiohaavoittuvuudena, eikä se sisältänyt huomautuksia siitä, että se olisi osa hyödynnettävissä olevaa koodin etäsuoritusketjua."
CVE-2022-41080 on Microsoftin virhe korjattu marraskuussa.
Rackspacen ulkopuolinen neuvonantaja kertoi Dark Readingille, että Rackspace oli viivytellyt ProxyNotShell-korjauksen asentamista, sillä raportit olivat huolissaan siitä, että se aiheutti "todennusvirheitä", joiden yritys pelkäsi poistaa Exchange-palvelimensa. Rackspace oli aiemmin toteuttanut Microsoftin suosittelemia haavoittuvuuksien lievennyksiä, joita Microsoft oli katsonut tapana estää hyökkäykset.
Rackspace palkkasi CrowdStriken auttamaan rikkomistukissaan, ja tietoturvayritys jakoi havainnot blogikirjoituksessa, jossa kerrottiin Play-lunnasohjelmaryhmän toiminnasta. käyttää uutta tekniikkaa käynnistää seuraavan vaiheen ProxyNotShell RCE -virheen, joka tunnetaan nimellä CVE-2022-41082 käyttämällä CVE-2022-41080. CrowdStriken viestissä ei tuolloin nimetty Rackspacea, mutta yrityksen ulkoinen neuvonantaja kertoo Dark Readingille, että tutkimus Playn lieventämisohitusmenetelmästä johtui CrowdStriken tutkimuksesta isännöintipalveluntarjoajaan kohdistuvasta hyökkäyksestä.
Microsoft kertoi Dark Readingille viime kuussa, että vaikka hyökkäys ohittaa aiemmin julkaistut ProxyNotShell-rajoitukset, se ei ohita varsinaista korjaustiedostoa.
Paikkaus on vastaus, jos pystyt siihen”, ulkopuolinen neuvonantaja sanoo ja huomauttaa, että yritys oli vakavasti punninnut laastarin kiinnittämisen riskiä silloin, kun lieventämiskeinojen sanottiin olevan tehokkaita ja laastariin liittyi riski poistaa laastarin. palvelimia. "He arvioivat, harkitsivat ja punnsivat [riskiä], jonka he tiesivät" tuolloin, ulkopuolinen neuvonantaja sanoo. Yritys ei ole vieläkään asentanut korjaustiedostoa, koska palvelimet ovat edelleen poissa käytöstä.
Rackspacen tiedottaja ei kommentoinut, oliko Rackspace maksanut lunnasohjelmien hyökkääjille.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
