Rackspace: l'attacco ransomware ha aggirato le mitigazioni di ProxyNotShell

La società di servizi di cloud hosting gestito Rackspace Technology ha confermato che il massiccio attacco ransomware del 2 dicembre che ha interrotto i servizi di posta elettronica per migliaia dei suoi clienti di piccole e medie imprese è avvenuto tramite un exploit zero-day contro una vulnerabilità di falsificazione di richieste lato server (SSRF) in Microsoft Exchange Server, alias CVE-2022-41080.

"Ora siamo molto fiduciosi che la causa principale in questo caso riguardi un exploit zero-day associato a CVE-2022-41080", ha dichiarato a Dark Reading Karen O'Reilly-Smith, chief security officer di Rackspace, in una risposta via e-mail. "Microsoft ha rivelato CVE-2022-41080 come una vulnerabilità di escalation dei privilegi e non ha incluso note per far parte di una catena di esecuzione di codice in modalità remota che era sfruttabile."

CVE-2022-41080 è un bug che Microsoft rattoppato a novembre. 

Un consulente esterno di Rackspace ha dichiarato a Dark Reading che Rackspace aveva trattenuto l'applicazione della patch ProxyNotShell a causa delle preoccupazioni per le segnalazioni secondo cui avrebbe causato "errori di autenticazione" che la società temeva potessero interrompere i suoi server Exchange. Rackspace aveva precedentemente implementato le mitigazioni consigliate da Microsoft per le vulnerabilità, che Microsoft aveva considerato un modo per contrastare gli attacchi.

Rackspace ha assunto CrowdStrike per aiutare con la sua indagine sulla violazione e la società di sicurezza ha condiviso i suoi risultati in un post sul blog che descrive in dettaglio come era il gruppo di ransomware Play impiegando una nuova tecnica per attivare il difetto ProxyNotShell RCE della fase successiva noto come CVE-2022-41082 utilizzando CVE-2022-41080. Il post di CrowdStrike all'epoca non nominava Rackspace, ma il consulente esterno dell'azienda dice a Dark Reading che la ricerca sul metodo di bypass della mitigazione di Play era il risultato dell'indagine di CrowdStrike sull'attacco al fornitore di servizi di hosting.

Microsoft ha dichiarato a Dark Reading il mese scorso che mentre l'attacco aggira le mitigazioni ProxyNotShell rilasciate in precedenza, non aggira la patch stessa. 

L'applicazione di patch è la risposta se puoi farlo ", afferma il consulente esterno, osservando che la società aveva seriamente valutato il rischio di applicare la patch in un momento in cui si diceva che le mitigazioni fossero efficaci e la patch arrivava con il rischio di abbattere il suo server. "Hanno valutato, considerato e soppesato [il rischio] di cui erano a conoscenza" in quel momento, afferma il consulente esterno. La società non ha ancora applicato la patch poiché i server rimangono inattivi. 

Un portavoce di Rackspace non ha commentato se Rackspace avesse pagato gli aggressori del ransomware.