חברת שירותי אירוח ענן מנוהלת Rackspace Technology אישרה כי מתקפת תוכנת הכופר האדירה ב-2 בדצמבר ששיבשה את שירותי הדוא"ל עבור אלפי לקוחות עסקיים קטנים עד בינוניים שלה הגיעה באמצעות ניצול של יום אפס נגד פגיעות של זיוף בקשות בצד השרת (SSRF) ב-Microsoft Exchange Server, aka CVE-2022-41080.
"עכשיו אנחנו בטוחים מאוד שהגורם השורשי במקרה זה נוגע לניצול של יום אפס הקשור ל-CVE-2022-41080", אמרה קארן אוריילי-סמית', קצינת האבטחה הראשית של Rackspace, ל-Dark Reading בתגובה באימייל. "מיקרוסופט חשפה את CVE-2022-41080 כחולשה להסלמה של הרשאות ולא כללה הערות על היותה חלק משרשרת ביצוע קוד מרחוק שניתנת לניצול."
CVE-2022-41080 הוא באג שמיקרוסופט תוקן בנובמבר.
יועץ חיצוני ל-Rackspace אמר ל-Dark Reading ש-Rackspace התעכב עם החלת התיקון של ProxyNotShell על רקע החששות מדיווחים על כך שהוא גרם ל"שגיאות אימות" שהחברה חששה שיכולות להפיל את שרתי ה-Exchange שלה. Rackspace יישמה בעבר את ההקלות המומלצות של מיקרוסופט עבור הפגיעויות, שמיקרוסופט ראתה כדרך לסכל את ההתקפות.
Rackspace שכרה את CrowdStrike כדי לעזור בחקירת הפרות שלה, וחברת האבטחה שיתפה את הממצאים שלה בפוסט בבלוג המפרט כיצד הייתה קבוצת Play Play. תוך שימוש בטכניקה חדשה כדי להפעיל את הפגם של ProxyNotShell RCE בשלב הבא הידוע בשם CVE-2022-41082 באמצעות CVE-2022-41080. הפוסט של CrowdStrike לא ציין את השם של Rackspace באותו זמן, אבל היועץ החיצוני של החברה אומר ל-Dark Reading שהמחקר על שיטת המעקף של Play היה תוצאה של החקירה של CrowdStrike על המתקפה על ספק שירותי האירוח.
מיקרוסופט אמרה ל-Dark Reading בחודש שעבר שבעוד שההתקפה עוקפת את ההקלות שפורסמו בעבר ב-ProxyNotShell, היא לא עוקפת את התיקון עצמו.
תיקון הוא התשובה אם אתה יכול לעשות את זה", אומר היועץ החיצוני, ומציין שהחברה שקלה ברצינות את הסיכון של החלת המדבקה בתקופה שבה נאמר כי ההקלות היו אפקטיביות והתיקון הגיע עם סיכון של הורדת התיקון שלו. שרתים. "הם העריכו, שקלו ושקלו את הסיכון שהם ידעו עליו", אומר היועץ החיצוני. החברה עדיין לא החלה את התיקון מאז שהשרתים נותרו מושבתים.
דובר Rackspace לא הגיב אם Rackspace שילם לתוקפי תוכנת הכופר.
