Rackspace: Napad izsiljevalske programske opreme je zaobšel ublažitve ProxyNotShell

Podjetje za upravljane storitve gostovanja v oblaku Rackspace Technology je potrdilo, da je ogromen napad z izsiljevalsko programsko opremo 2. decembra, ki je prekinil e-poštne storitve za tisoče njegovih malih in srednje velikih poslovnih strank, prišel prek izkoriščanja ničelnega dne proti ranljivosti ponarejanja zahtev na strani strežnika (SSRF). v Microsoft Exchange Server, oz CVE-2022-41080.

"Zdaj smo zelo prepričani, da se glavni vzrok v tem primeru nanaša na izkoriščanje ničelnega dne, povezano s CVE-2022-41080," je v e-poštnem odgovoru za Dark Reading povedala Karen O'Reilly-Smith, vodja varnostne službe za Rackspace. "Microsoft je razkril CVE-2022-41080 kot ranljivost stopnjevanja privilegijev in ni vključil opomb, da je del verige za oddaljeno izvajanje kode, ki bi jo bilo mogoče izkoristiti."

CVE-2022-41080 je napaka, ki jo Microsoft popravljen novembra. 

Zunanji svetovalec podjetja Rackspace je za Dark Reading povedal, da je Rackspace odložil uporabo popravka ProxyNotShell zaradi pomislekov glede poročil, da je povzročil "napake pri preverjanju pristnosti", za katere se je podjetje balo, da bi lahko uničilo njegove strežnike Exchange. Rackspace je pred tem implementiral priporočene Microsoftove ublažitve za ranljivosti, ki jih je Microsoft ocenil kot način za preprečitev napadov.

Rackspace je najel CrowdStrike za pomoč pri preiskavi kršitev, varnostno podjetje pa je svoje ugotovitve delilo v objavi v spletnem dnevniku, v kateri je podrobno opisalo, kako je bila skupina za izsiljevalsko programsko opremo Play uporabo nove tehnike za sprožitev naslednje stopnje napake ProxyNotShell RCE, znane kot CVE-2022-41082, z uporabo CVE-2022-41080. Objava CrowdStrike takrat ni navedla imena Rackspace, vendar je zunanji svetovalec podjetja za Dark Reading povedal, da je bila raziskava o metodi obvoda za ublažitev Play rezultat preiskave CrowdStrike o napadu na ponudnika storitev gostovanja.

Microsoft je prejšnji mesec za Dark Reading povedal, da čeprav napad zaobide predhodno izdane ublažitve ProxyNotShell, ne zaobide samega dejanskega popravka. 

Popravek je odgovor, če lahko to storite,« pravi zunanji svetovalec in ugotavlja, da je podjetje resno pretehtalo tveganje uporabe popravka v času, ko je bilo rečeno, da so ublažitve učinkovite in je popravek prinesel tveganje, da bo odstranil strežniki. "Takrat so ocenili, preučili in pretehtali [tveganje], za katerega so vedeli", pravi zunanji svetovalec. Podjetje še vedno ni uporabilo popravka, ker strežniki še vedno ne delujejo. 

Tiskovni predstavnik Rackspacea ni želel komentirati, ali je Rackspace plačal napadalcem izsiljevalske programske opreme.