マネージド クラウド ホスティング サービス企業の Rackspace Technology は、2 月 XNUMX 日に発生した大規模なランサムウェア攻撃により、数千の中小企業顧客の電子メール サービスが中断され、サーバー側のリクエスト フォージェリ (SSRF) 脆弱性に対するゼロデイ攻撃が行われたことを確認しました。 Microsoft Exchange Server、別名 CVE-2022-41080。
Rackspace の最高セキュリティ責任者である Karen O'Reilly-Smith 氏は、Dark Reading への電子メールの返信で次のように述べています。 「Microsoft は、CVE-2022-41080 を権限昇格の脆弱性として開示し、悪用可能なリモート コード実行チェーンの一部であるというメモを含めませんでした。」
CVE-2022-41080 は、Microsoft が発見したバグです。 XNUMX月に修正.
Rackspace の外部顧問は Dark Reading に、Rackspace が ProxyNotShell パッチの適用を延期したと語った.これは、同社が Exchange Server をダウンさせる可能性があることを恐れた「認証エラー」を引き起こしたという報告に対する懸念の中で. Rackspace は以前、Microsoft が推奨する脆弱性に対する緩和策を実装しており、Microsoft はこれを攻撃を阻止する方法と見なしていました。
Rackspace は侵害調査を支援するために CrowdStrike を雇いました。このセキュリティ会社は、Play ランサムウェア グループがどのように攻撃されたかを詳述したブログ投稿で調査結果を共有しました。 新しい技術を採用する CVE-2022-41082 を使用して、CVE-2022-41080 として知られる次段階の ProxyNotShell RCE 欠陥をトリガーします。 当時、CrowdStrike の投稿では Rackspace の名前は挙げられていませんでしたが、同社の外部アドバイザーは Dark Reading に対し、Play の緩和バイパス方法に関する調査は、CrowdStrike がホスティング サービス プロバイダーに対する攻撃を調査した結果であると語っています。
Microsoft は先月、Dark Reading に対し、攻撃は以前に発行された ProxyNotShell 緩和策をバイパスするが、実際のパッチ自体はバイパスしないと語った。
可能であれば、パッチを適用することが答えです」と外部アドバイザーは言い、緩和策が効果的であると言われていたときにパッチを適用するリスクを真剣に検討し、パッチにはそのパッチを削除するリスクがあったことを指摘しました。サーバー。 「彼らは、知っている [リスク] を評価し、検討し、比較検討しました」と外部アドバイザーは言います。 サーバーがダウンしたままなので、会社はまだパッチを適用していません。
Rackspace の広報担当者は、Rackspace がランサムウェア攻撃者に支払ったかどうかについてコメントしませんでした。
