Rackspace: Ransomware Attack Bypassed ProxyNotShell Mitigations PlatoBlockchain ڈیٹا انٹیلی جنس۔ عمودی تلاش۔ عی

ریک اسپیس: رینسم ویئر اٹیک نے پراکسی نوٹ شیل کی تخفیف کو نظرانداز کیا

ٹائم سٹیمپ: 4 جنوری 2023 6:21 PM

مینیجڈ کلاؤڈ ہوسٹنگ سروسز کمپنی Rackspace ٹیکنالوجی نے تصدیق کی ہے کہ 2 دسمبر کو بڑے پیمانے پر رینسم ویئر حملہ جس نے اس کے ہزاروں چھوٹے سے درمیانے درجے کے کاروباری صارفین کے لیے ای میل سروسز میں خلل ڈالا، سرور سائڈ ریکوئسٹ جعل سازی (SSRF) کے خطرے کے خلاف صفر دن کے استحصال کے ذریعے آیا۔ مائیکروسافٹ ایکسچینج سرور میں، عرف CVE-2022-41080۔

ریکس اسپیس کے چیف سیکیورٹی آفیسر کیرن او ریلی اسمتھ نے ایک ای میل کے جواب میں ڈارک ریڈنگ کو بتایا، "ہمیں اب بہت اعتماد ہے کہ اس معاملے کی بنیادی وجہ CVE-2022-41080 کے ساتھ منسلک صفر دن کے استحصال سے متعلق ہے۔" "مائیکروسافٹ نے CVE-2022-41080 کو استحقاق میں اضافے کے خطرے کے طور پر ظاہر کیا اور اس میں ریموٹ کوڈ پر عمل درآمد کی زنجیر کا حصہ ہونے کے نوٹس شامل نہیں کیے جو کہ قابل استحصال تھا۔"

CVE-2022-41080 ایک بگ ہے جو مائیکروسافٹ ہے۔ نومبر میں باندھا

ریک اسپیس کے ایک بیرونی مشیر نے ڈارک ریڈنگ کو بتایا کہ Rackspace نے ProxyNotShell پیچ کو لاگو کرنے سے روک دیا ہے ان خدشات کے درمیان کہ اس کی وجہ سے "تصدیق کی خرابیاں" ہوئیں جن کا کمپنی کو خدشہ تھا کہ وہ اپنے ایکسچینج سرورز کو ختم کر سکتی ہے۔ Rackspace نے پہلے مائیکروسافٹ کی جانب سے کمزوریوں کے لیے تجویز کردہ تخفیف کو لاگو کیا تھا، جسے مائیکروسافٹ نے حملوں کو ناکام بنانے کا ایک طریقہ سمجھا تھا۔

Rackspace نے اپنی خلاف ورزی کی تحقیقات میں مدد کے لیے CrowdStrike کی خدمات حاصل کیں، اور سیکیورٹی فرم نے اپنے نتائج کو ایک بلاگ پوسٹ میں شیئر کیا جس میں بتایا گیا تھا کہ Play ransomware گروپ کیسے تھا۔ ایک نئی تکنیک کا استعمال CVE-2022-41082 کا استعمال کرتے ہوئے اگلے مرحلے کے ProxyNotShell RCE خامی کو متحرک کرنے کے لیے جسے CVE-2022-41080 کہا جاتا ہے۔ CrowdStrike کی پوسٹ میں اس وقت Rackspace کا نام نہیں تھا، لیکن کمپنی کے بیرونی مشیر نے ڈارک ریڈنگ کو بتایا کہ Play کے تخفیف بائی پاس کے طریقہ کار کے بارے میں تحقیق کراؤڈ اسٹرائیک کی میزبانی کی خدمات فراہم کرنے والے پر حملے کی تحقیقات کا نتیجہ تھی۔

مائیکروسافٹ نے پچھلے مہینے ڈارک ریڈنگ کو بتایا تھا کہ جب حملہ پہلے سے جاری کردہ ProxyNotShell تخفیف کو نظرانداز کرتا ہے، یہ اصل پیچ کو ہی نظرانداز نہیں کرتا ہے۔ 

اگر آپ یہ کر سکتے ہیں تو پیچ کرنا اس کا جواب ہے،" بیرونی مشیر کا کہنا ہے کہ، کمپنی نے اس وقت پیچ کو لاگو کرنے کے خطرے کو سنجیدگی سے وزن کیا تھا جب تخفیف کو مؤثر کہا گیا تھا اور پیچ کو ختم کرنے کا خطرہ تھا۔ سرورز بیرونی مشیر کا کہنا ہے کہ "انہوں نے اس وقت [خطرے] کا اندازہ کیا، غور کیا اور اس کا وزن کیا"۔ کمپنی نے ابھی تک اس پیچ کو لاگو نہیں کیا ہے کیونکہ سرورز بند ہیں۔ 

Rackspace کے ترجمان اس پر تبصرہ نہیں کریں گے کہ آیا Rackspace نے ransomware حملہ آوروں کو ادائیگی کی تھی۔

سائبر سیکیورٹی کے تازہ ترین خطرات، نئے دریافت ہونے والے خطرات، ڈیٹا کی خلاف ورزی کی معلومات، اور ابھرتے ہوئے رجحانات سے باخبر رہیں۔ روزانہ یا ہفتہ وار آپ کے ای میل ان باکس میں ڈیلیور کیا جاتا ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا