Размещенная в Rackspace биржа пережила катастрофический сбой, начавшийся 2 декабря 2022 года и продолжающийся по состоянию на 00:37 4 декабря. Первоначально описанное как проблемы с подключением и входом в систему, руководство было в конечном итоге обновлено, чтобы объявить, что они имеют дело с инцидентом безопасности.
Содержание
Проблемы с Rackspace Hosted Exchange
Система Rackspace вышла из строя ранним утром 2 декабря 2022 года. Первоначально от Rackspace не было ни слова о том, в чем проблема, не говоря уже о том, когда она будет решена.
Клиенты в Твиттере сообщили, что Rackspace не отвечает на электронные письма службы поддержки.
Это был настоящий день с #Rackspace. Каждый клиент размещенной биржи был недоступен в течение 14 часов или около того. Служба поддержки не читает/не отвечает на тикеты. Обновления бесполезны.
Теперь я обеспокоен тем, что они стали жертвами чего-то плохого, такого как взлом ProxyNotShell PoC.
— Джо Синквиц (@CygnusSEO) 2 декабря 2022 г.
В пятницу клиент Rackspace лично написал мне в социальных сетях, чтобы рассказать о своем опыте:
«Все размещенные клиенты Exchange отключены за последние 16 часов.
Не уверен, сколько компаний, но это важно.
Они обслуживают отказ 554 с длительной задержкой, поэтому люди, отправляющие электронные письма, не знают о возврате в течение нескольких часов».
На официальной странице состояния Rackspace предлагалось текущее обновление сбоя, но в первоначальных сообщениях не было никакой информации, кроме того, что сбой был и он расследуется.
Первый официальное обновление было 2 декабря в 2:49:
«Мы изучаем проблему, затрагивающую наши среды Hosted Exchange. Более подробная информация будет опубликована по мере ее поступления».
Тринадцать минут спустя Rackspace начал называть это «проблемой с подключением».
«Мы изучаем сообщения о проблемах с подключением к нашим средам Exchange.
Пользователи могут столкнуться с ошибкой при доступе к Outlook Web App (веб-почте) и синхронизации своих почтовых клиентов».
К 6:36 обновления Rackspace описали текущую проблему как «проблемы с подключением и входом в систему», а позже в тот же день, в 13:54, Rackspace объявили, что они все еще находятся на «этапе расследования» сбоя, все еще пытаясь выяснить, что произошло. неправильный.
А также они все еще называли это «проблемы с подключением и входом в систему» в их средах Cloud Office в 16:51 в тот же день.
Rackspace рекомендует перейти на Microsoft 365
Четыре часа спустя Rackspace назвал ситуацию «серьезным сбоем» и начал предлагать своим клиентам бесплатные лицензии Microsoft Exchange Plan 1 на Microsoft 365 в качестве обходного пути, пока они не поймут проблему и не смогут снова подключить систему.
В официальном руководстве говорилось:
«Мы столкнулись со значительным сбоем в нашей среде Hosted Exchange. Мы заблаговременно отключаем среду, чтобы избежать дальнейших проблем, пока продолжаем работу по восстановлению службы. Поскольку мы продолжаем работать над основной причиной проблемы, у нас есть альтернативное решение, которое повторно активирует вашу способность отправлять и получать электронные письма.
Мы бесплатно предоставим вам доступ к лицензиям Microsoft Exchange Plan 1 на Microsoft 365 до дальнейшего уведомления».
Инцидент безопасности Exchange Hosted Rackspace
Только спустя почти 24 часа, в 1:57 утра 3 декабря, Rackspace официально объявила, что их размещенная служба Exchange страдает от инцидента с безопасностью.
В объявлении также сообщалось, что технические специалисты Rackspace выключили и отключили среду Exchange.
Опубликовано:
«После дальнейшего анализа мы определили, что это инцидент безопасности.
Известное воздействие связано с частью нашей платформы Hosted Exchange. Мы предпринимаем необходимые действия для оценки и защиты окружающей среды».
Двенадцать часов спустя в тот же день они обновили страницу состояния, добавив дополнительную информацию о том, что их команда безопасности и внешние эксперты все еще работают над устранением сбоя.
Был ли сервис Rackspace подвержен уязвимости?
Rackspace не разглашает подробности инцидента с безопасностью.
Событие безопасности обычно связано с уязвимостью, и в настоящее время в разработке находятся две серьезные уязвимости, которые были исправлены в ноябре 2022 года.
Это две самые актуальные уязвимости:
- CVE-2022-41040
Уязвимость Microsoft Exchange Server, связанная с подделкой запросов на стороне сервера (SSRF)
Атака подделки запросов на стороне сервера (SSRF) позволяет хакеру читать и изменять данные на сервере. - CVE-2022-41082
Уязвимость сервера Microsoft Exchange, связанная с удаленным выполнением кода
Уязвимость удаленного выполнения кода — это уязвимость, при которой злоумышленник может запустить вредоносный код на сервере.
Ан бюллетень опубликован в октябре 2022 г. описал влияние уязвимостей:
«Удаленный злоумышленник, прошедший проверку подлинности, может выполнять SSRF-атаки для повышения привилегий и выполнения произвольного кода PowerShell на уязвимых серверах Microsoft Exchange.
Поскольку атака нацелена на сервер почтовых ящиков Microsoft Exchange, злоумышленник потенциально может получить доступ к другим ресурсам путем бокового перемещения в среды Exchange и Active Directory».
Обновления сбоя Rackspace не указали, в чем заключалась конкретная проблема, только то, что это был инцидент безопасности.
В самом последнем обновлении статуса от 4 декабря говорится, что служба по-прежнему не работает, и клиентам рекомендуется перейти на службу Microsoft 365.
Рэкспейс опубликовал следующее 4 декабря 2022 г., 00:37:
«Мы продолжаем работать над устранением инцидента. Доступность вашего сервиса и безопасность ваших данных имеют большое значение.
Мы задействовали обширные внутренние ресурсы и привлекли внешних экспертов мирового уровня, чтобы свести к минимуму негативное воздействие на клиентов».
Возможно, отмеченные выше уязвимости связаны с инцидентом безопасности, затрагивающим службу Rackspace Hosted Exchange.
О том, была ли скомпрометирована информация о клиентах, не сообщалось. Это событие продолжается до сих пор.
Избранное изображение Shutterstock/Орн Рин
