Rackspace: การโจมตีของ Ransomware เลี่ยงการลดความเสี่ยงของ ProxyNotShell PlatoBlockchain Data Intelligence ค้นหาแนวตั้ง AI.

Rackspace: การโจมตีของ Ransomware เลี่ยงการบรรเทา ProxyNotShell

ประทับเวลา: 4 มกราคม 2023 6:21 น

บริษัทผู้ให้บริการโฮสติ้งคลาวด์ที่มีการจัดการ Rackspace Technology ยืนยันว่าการโจมตีด้วยแรนซัมแวร์ครั้งใหญ่เมื่อวันที่ 2 ธันวาคม ซึ่งทำให้บริการอีเมลหยุดชะงักสำหรับลูกค้าธุรกิจขนาดเล็กถึงขนาดกลางหลายพันรายมาจากการเจาะช่องโหว่แบบ Zero-day ต่อช่องโหว่ด้านเซิร์ฟเวอร์ที่ร้องขอการปลอมแปลง (SSRF) ใน Microsoft Exchange Server หรือที่เรียกว่า CVE-2022-41080

“ตอนนี้เรามั่นใจเป็นอย่างยิ่งว่าต้นตอของคดีนี้เกี่ยวข้องกับการเจาะช่องโหว่แบบ Zero-day ที่เกี่ยวข้องกับ CVE-2022-41080” Karen O'Reilly-Smith หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Rackspace กล่าวกับ Dark Reading ในการตอบกลับทางอีเมล “Microsoft เปิดเผย CVE-2022-41080 เป็นช่องโหว่ในการยกระดับสิทธิ์ และไม่รวมหมายเหตุสำหรับการเป็นส่วนหนึ่งของห่วงโซ่การเรียกใช้โค้ดจากระยะไกลที่สามารถใช้ประโยชน์ได้”

CVE-2022-41080 เป็นข้อบกพร่องที่ Microsoft แก้ไขในเดือนพฤศจิกายน

ที่ปรึกษาภายนอกของ Rackspace บอกกับ Dark Reading ว่า Rackspace ระงับการใช้แพตช์ ProxyNotShell ท่ามกลางความกังวลเกี่ยวกับรายงานที่ทำให้เกิด “ข้อผิดพลาดในการตรวจสอบสิทธิ์” ที่บริษัทเกรงว่าอาจทำให้ Exchange Servers ล่ม ก่อนหน้านี้ Rackspace ได้ใช้มาตรการลดช่องโหว่ที่แนะนำของ Microsoft ซึ่ง Microsoft เห็นว่าเป็นวิธีการขัดขวางการโจมตี

Rackspace จ้าง CrowdStrike เพื่อช่วยในการสืบสวนการละเมิด และบริษัทรักษาความปลอดภัยได้แชร์การค้นพบในบล็อกโพสต์โดยให้รายละเอียดว่ากลุ่ม Play ransomware เป็นอย่างไร ใช้เทคนิคใหม่ เพื่อกระตุ้นข้อบกพร่อง ProxyNotShell RCE ขั้นต่อไปที่รู้จักกันในชื่อ CVE-2022-41082 โดยใช้ CVE-2022-41080 โพสต์ของ CrowdStrike ไม่ได้ระบุชื่อ Rackspace ในขณะนั้น แต่ที่ปรึกษาภายนอกของบริษัทบอกกับ Dark Reading ว่าการวิจัยเกี่ยวกับวิธีบายพาสการลดผลกระทบของ Play เป็นผลมาจากการสืบสวนของ CrowdStrike ต่อการโจมตีผู้ให้บริการโฮสติ้ง

Microsoft บอก Dark Reading เมื่อเดือนที่แล้วว่า แม้ว่าการโจมตีจะข้ามการบรรเทา ProxyNotShell ที่ออกก่อนหน้านี้ แต่ก็ไม่ได้ข้ามแพตช์จริง 

การแพตช์คือคำตอบถ้าคุณทำได้” ที่ปรึกษาภายนอกกล่าว พร้อมสังเกตว่าบริษัทได้ชั่งน้ำหนักความเสี่ยงอย่างจริงจังในการใช้แพตช์ในช่วงเวลาที่การบรรเทาผลกระทบได้รับการกล่าวว่ามีประสิทธิภาพ และแพตช์มาพร้อมกับความเสี่ยงที่จะหยุดการแพตช์ เซิร์ฟเวอร์ “พวกเขาประเมิน พิจารณา และชั่งน้ำหนัก [ความเสี่ยง] ที่พวกเขารู้” ในเวลานั้น ที่ปรึกษาภายนอกกล่าว บริษัทยังไม่ได้ใช้แพตช์เนื่องจากเซิร์ฟเวอร์ยังคงหยุดทำงาน 

โฆษกของ Rackspace จะไม่แสดงความคิดเห็นว่า Rackspace ได้จ่ายเงินให้กับผู้โจมตีแรนซัมแวร์หรือไม่

ติดตามภัยคุกคามความปลอดภัยทางไซเบอร์ล่าสุด ช่องโหว่ที่เพิ่งค้นพบ ข้อมูลการละเมิดข้อมูล และแนวโน้มที่เกิดขึ้นใหม่ จัดส่งทุกวันหรือทุกสัปดาห์ไปยังกล่องจดหมายอีเมลของคุณ

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด