A felhőalapú hosting szolgáltató, a Rackspace Technology megerősítette, hogy a december 2-i hatalmas ransomware támadás, amely több ezer kis- és közepes üzleti ügyfele e-mail szolgáltatásait megzavarta, egy szerveroldali kérés-hamisítás (SSRF) sérülékenysége elleni nulladik napi kizsákmányolás révén történt. a Microsoft Exchange Serverben, más néven CVE-2022-41080.
„Most nagyon biztosak vagyunk abban, hogy ebben az esetben a kiváltó ok a CVE-2022-41080-hoz kapcsolódó nulladik napi kizsákmányoláshoz kapcsolódik” – mondta Karen O'Reilly-Smith, a Rackspace biztonsági igazgatója a Dark Readingnek egy e-mailben. „A Microsoft nyilvánosságra hozta a CVE-2022-41080-at, mint a jogosultság-kiterjesztési sebezhetőséget, és nem tartalmazott megjegyzéseket arra vonatkozóan, hogy egy kihasználható távoli kódvégrehajtási lánc része.
A CVE-2022-41080 a Microsoft által okozott hiba novemberben foltozták.
A Rackspace egyik külső tanácsadója azt mondta a Dark Readingnek, hogy a Rackspace visszatartotta a ProxyNotShell javítás alkalmazását, mivel aggodalmak szerint az „hitelesítési hibákat” okozott, amelyektől a vállalat attól tart, hogy leállíthatja Exchange szervereit. A Rackspace korábban bevezette a Microsoft által a sérülékenységek enyhítésére javasolt megoldásokat, amelyeket a Microsoft a támadások meghiúsításának módjának tekintett.
A Rackspace felbérelte a CrowdStrike-ot, hogy segítsen a jogsértés kivizsgálásában, és a biztonsági cég egy blogbejegyzésben osztotta meg megállapításait a Play ransomware csoport működéséről. új technikát alkalmaz a következő fokozatú ProxyNotShell RCE-hibának a CVE-2022-41082 néven történő aktiválásához a CVE-2022-41080 használatával. A CrowdStrike bejegyzése akkor még nem nevezte meg a Rackspace-t, de a cég külső tanácsadója a Dark Readingnek azt nyilatkozta, hogy a Play enyhítő bypass módszerével kapcsolatos kutatás a CrowdStrike által a tárhelyszolgáltató elleni támadást vizsgáló nyomozás eredménye.
A Microsoft a múlt hónapban azt mondta a Dark Readingnek, hogy bár a támadás megkerüli a korábban kiadott ProxyNotShell-enyhítéseket, magát a javítást nem.
A javítás a megoldás, ha meg tudod csinálni” – mondja a külső tanácsadó, megjegyezve, hogy a vállalat komolyan mérlegelte a tapasz felhelyezésének kockázatát akkor, amikor azt mondták, hogy a mérséklések hatásosak voltak, és a tapasz a leválás kockázatával járt. szerverek. „Értékelték, mérlegelték és mérlegelték [a kockázatot], amelyről akkoriban tudtak” – mondja a külső tanácsadó. A vállalat még mindig nem alkalmazta a javítást, mivel a szerverek nem működnek.
A Rackspace szóvivője nem kommentálta, hogy a Rackspace fizetett-e a ransomware támadóinak.
