Yönetilen bulut barındırma hizmetleri şirketi Rackspace Technology, 2 Aralık'ta binlerce küçük ve orta ölçekli işletme müşterisinin e-posta hizmetlerini kesintiye uğratan büyük çaplı fidye yazılımı saldırısının, sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına yönelik sıfırıncı gün açıklarından yararlanma yoluyla geldiğini doğruladı. Microsoft Exchange Server'da, diğer adıyla CVE-2022-41080.
Rackspace'in baş güvenlik yetkilisi Karen O'Reilly-Smith, Dark Reading'e bir e-posta yanıtında, "Artık bu davadaki temel nedenin CVE-2022-41080 ile ilişkili sıfır günlük bir açıktan yararlanma ile ilgili olduğundan son derece eminiz" dedi. "Microsoft, CVE-2022-41080'i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve kötüye kullanılabilecek bir uzaktan kod yürütme zincirinin parçası olduğuna dair notlar eklemedi."
CVE-2022-41080, Microsoft'un Kasım ayında yamalı.
Rackspace'in harici bir danışmanı, Dark Reading'e Rackspace'in, şirketin Exchange Sunucularını çökertebileceğinden korktuğu "kimlik doğrulama hatalarına" neden olduğu yönündeki raporlarla ilgili endişeler nedeniyle ProxyNotShell yamasını uygulamayı ertelediğini söyledi. Rackspace daha önce, Microsoft'un saldırıları engellemenin bir yolu olarak gördüğü güvenlik açıkları için önerilen azaltmaları uygulamıştı.
Rackspace, ihlal soruşturmasına yardımcı olması için CrowdStrike'ı işe aldı ve güvenlik firması bulgularını, Play fidye yazılımı grubunun nasıl olduğunu ayrıntılarıyla anlatan bir blog gönderisinde paylaştı. yeni bir teknik kullanarak CVE-2022-41082 kullanılarak CVE-2022-41080 olarak bilinen sonraki aşama ProxyNotShell RCE kusurunu tetiklemek için. CrowdStrike'ın gönderisi o sırada Rackspace'in adını vermiyordu, ancak şirketin dış danışmanı Dark Reading'e Play'in hafifletme baypas yöntemi hakkındaki araştırmanın CrowdStrike'ın barındırma hizmetleri sağlayıcısına yapılan saldırıyla ilgili araştırmasının sonucu olduğunu söyledi.
Microsoft geçen ay Dark Reading'e, saldırının daha önce yayınlanan ProxyNotShell azaltmalarını atlasa da asıl yamanın kendisini atlamadığını söyledi.
Yama uygulamak çözüm, eğer yapabilirsen," diyor dış danışman, şirketin yamayı uygulama riskini ciddi şekilde tarttığını ve hafifletmelerin etkili olduğunun söylendiği ve yamanın kendi sistemlerini kapatma riskiyle karşı karşıya geldiğini belirtiyor. sunucular. Dış danışman, "Bildikleri [riski] o sırada değerlendirdiler, dikkate aldılar ve tarttılar" diyor. Sunucular kapalı kaldığı için şirket hala yamayı uygulamadı.
Bir Rackspace sözcüsü, Rackspace'in fidye yazılımı saldırganlarına ödeme yapıp yapmadığı konusunda yorum yapmadı.
