रैकस्पेस: रैनसमवेयर अटैक ने प्रॉक्सीनॉटशेल शमन प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को दरकिनार कर दिया। लंबवत खोज. ऐ.

रैकस्पेस: रैंसमवेयर अटैक ने प्रॉक्सी नॉटशेल मिटिगेशन को दरकिनार कर दिया

समय टिकट: 4 जनवरी, 2023 शाम 6:21 बजे

प्रबंधित क्लाउड होस्टिंग सेवा कंपनी रैकस्पेस टेक्नोलॉजी ने पुष्टि की है कि बड़े पैमाने पर 2 दिसंबर रैनसमवेयर हमले ने अपने हजारों छोटे-से-मझोले व्यापार ग्राहकों के लिए ईमेल सेवाओं को बाधित कर दिया, सर्वर-साइड अनुरोध जालसाजी (SSRF) भेद्यता के खिलाफ शून्य-दिन के शोषण के माध्यम से आया माइक्रोसॉफ्ट एक्सचेंज सर्वर में, उर्फ CVE-2022-41080।

"हम अब अत्यधिक आश्वस्त हैं कि इस मामले में मूल कारण CVE-2022-41080 से जुड़े एक शून्य-दिन के शोषण से संबंधित है," रैकस्पेस के मुख्य सुरक्षा अधिकारी करेन ओ'रेली-स्मिथ ने एक ईमेल प्रतिक्रिया में डार्क रीडिंग को बताया। "Microsoft ने CVE-2022-41080 को एक विशेषाधिकार वृद्धि भेद्यता के रूप में प्रकट किया और रिमोट कोड निष्पादन श्रृंखला का हिस्सा होने के लिए नोट शामिल नहीं किया जो शोषक था।"

CVE-2022-41080 एक बग है जो Microsoft नवंबर में पैच किया गया

रैकस्पेस के एक बाहरी सलाहकार ने डार्क रीडिंग को बताया कि रैकस्पेस ने प्रोक्सीनॉटशेल पैच को लागू करने से रोक दिया था, रिपोर्ट्स के बारे में चिंताओं के बीच कि यह "प्रमाणीकरण त्रुटियों" का कारण बना, जिससे कंपनी को डर था कि वह अपने एक्सचेंज सर्वर को नीचे ले जा सकती है। रैकस्पेस ने पहले कमजोरियों के लिए Microsoft की अनुशंसित शमन को लागू किया था, जिसे Microsoft ने हमलों को विफल करने का एक तरीका माना था।

रैकस्पेस ने अपनी उल्लंघन जांच में मदद के लिए क्राउडस्ट्राइक को काम पर रखा था, और सुरक्षा फर्म ने अपने निष्कर्षों को एक ब्लॉग पोस्ट में साझा किया जिसमें बताया गया था कि प्ले रैंसमवेयर समूह कैसा था एक नई तकनीक का उपयोग करना CVE-2022-41082 का उपयोग करके CVE-2022-41080 के रूप में ज्ञात अगले-चरण ProxyNotShell RCE दोष को ट्रिगर करने के लिए। क्राउडस्ट्राइक की पोस्ट में उस समय रैकस्पेस का नाम नहीं था, लेकिन कंपनी के बाहरी सलाहकार ने डार्क रीडिंग को बताया कि प्ले की शमन बाईपास विधि के बारे में शोध क्राउडस्ट्राइक की होस्टिंग सेवा प्रदाता पर हमले की जांच का परिणाम था।

Microsoft ने पिछले महीने डार्क रीडिंग को बताया था कि जबकि हमले ने पहले जारी किए गए ProxyNotShell शमन को दरकिनार कर दिया था, यह वास्तविक पैच को ही बायपास नहीं करता है। 

यदि आप इसे कर सकते हैं तो पैचिंग इसका उत्तर है, ”बाहरी सलाहकार कहते हैं, यह देखते हुए कि कंपनी ने उस समय पैच लगाने के जोखिम को गंभीरता से तौला था जब शमन को प्रभावी कहा गया था और पैच को नीचे ले जाने का जोखिम था। सर्वर। बाहरी सलाहकार कहते हैं, "उन्होंने मूल्यांकन किया, विचार किया और तौला [जोखिम] वे जानते थे"। सर्वर डाउन रहने के कारण कंपनी ने अभी भी पैच लागू नहीं किया है। 

रैकस्पेस के प्रवक्ता इस पर टिप्पणी नहीं करेंगे कि क्या रैकस्पेस ने रैंसमवेयर हमलावरों को भुगतान किया था।

नवीनतम साइबर सुरक्षा खतरों, नई खोजी गई कमजोरियों, डेटा उल्लंघन की जानकारी और उभरते रुझानों के साथ बने रहें। सीधे आपके ईमेल इनबॉक्स में दैनिक या साप्ताहिक वितरित किया जाता है।

समय टिकट:

से अधिक डार्क रीडिंग