قطع شدن صرافی میزبانی Rackspace به دلیل حادثه امنیتی

Exchange میزبانی Rackspace از ۲ دسامبر ۲۰۲۲ دچار قطعی فاجعه‌بار شد و تا ساعت ۱۲:۳۷ بامداد ۴ دسامبر همچنان ادامه دارد. در ابتدا به عنوان مشکلات اتصال و ورود به سیستم توضیح داده شد، این راهنما در نهایت به‌روزرسانی شد تا اعلام شود که آنها با یک حادثه امنیتی سروکار دارند.

مشکلات تبادل میزبانی Rackspace

سیستم Rackspace در ساعات اولیه بامداد ۲ دسامبر ۲۰۲۲ از کار افتاد. در ابتدا هیچ خبری از Rackspace در مورد این مشکل وجود نداشت، بسیار کمتر از زمان حل شدن آن.

مشتریان در توییتر گزارش دادند که Rackspace به ایمیل‌های پشتیبانی پاسخ نمی‌دهد.

این روز با #Rackspace. هر مشتری صرافی میزبانی شده برای ۱۴ ساعت یا بیشتر از کار افتاده است. پشتیبانی خواندن/پاسخ دادن به بلیط ها نیست. به روز رسانی ها مفید نیستند.

من اکنون نگران هستم که آنها قربانی چیز بدی مانند هک ProxyNotShell PoC شده اند. https://t.co/jchKsAO3Z7

— جو سینکویتس (@CygnusSEO) 2 دسامبر، ۲۰۲۲

یک مشتری Rackspace در روز جمعه از طریق رسانه های اجتماعی به من پیام خصوصی داد تا تجربه خود را بیان کنم:

“همه سرویس گیرندگان Exchange میزبانی شده طی ۱۶ ساعت گذشته از کار افتاده اند.

مطمئن نیست که چند شرکت است، اما مهم است.

آن‌ها با تأخیر طولانی ۵۵۴ ارسال می‌کنند، بنابراین افرادی که ایمیل ارسال می‌کنند تا چندین ساعت از بازگشت مطلع نمی‌شوند.”

صفحه رسمی وضعیت Rackspace یک به‌روزرسانی در حال اجرا از قطعی ارائه می‌دهد، اما پست‌های اولیه هیچ اطلاعاتی جز قطعی نداشتند و در حال بررسی بود.

اولین به‌روزرسانی رسمی در دسامبر بود دوم در ساعت ۲:۴۹ بامداد:

«ما در حال بررسی مشکلی هستیم که بر محیط‌های تبادل میزبانی ما تأثیر می‌گذارد. جزئیات بیشتر به محض در دسترس قرار گرفتن پست خواهند شد.”

سیزده دقیقه بعد Rackspace شروع به نامیدن آن “مشکل اتصال” کرد.

“ما در حال بررسی گزارشات مربوط به مشکلات اتصال به محیط های Exchange خود هستیم.

کاربران ممکن است هنگام دسترسی به برنامه وب Outlook (Webmail) و همگام سازی کلاینت(های) ایمیل خود با خطا مواجه شوند.»

در ساعت ۶:۳۶ صبح، به‌روزرسانی‌های Rackspace مشکل جاری را به‌عنوان «مشکلات اتصال و ورود به سیستم» توصیف کردند، سپس بعد از ظهر همان روز در ساعت ۱:۵۴ بعد از ظهر Rackspace اعلام کرد که هنوز در «مرحله بررسی» قطعی هستند، و هنوز در تلاش برای کشف کردن هستند. مشکل را مشخص کنید.

و هنوز آن را صدا می کردند ” مشکلات اتصال و ورود به سیستم” در محیط های Cloud Office آنها در ساعت ۴:۵۱ بعدازظهر همان روز.

Rackspace مهاجرت به Microsoft 365 را توصیه می کند

چهار ساعت بعد Rackspace از این وضعیت به عنوان یک “شکست قابل توجه” یاد کرد و شروع به ارائه مجوزهای رایگان Microsoft Exchange Plan 1 در Microsoft 365 به عنوان یک راه حل کرد تا زمانی که مشکل را درک کنند و بتوانند سیستم را دوباره آنلاین کنند.

>

راهنمای رسمی بیان کرد:

“ما یک شکست قابل توجه در محیط تبادل میزبانی خود تجربه کردیم. ما به طور فعال محیط را خاموش می کنیم تا در حین ادامه کار برای بازگرداندن سرویس، از هر گونه مشکل بیشتر جلوگیری کنیم. همانطور که ما به کار برای یافتن علت اصلی مشکل ادامه می دهیم، یک راه حل جایگزین داریم که توانایی شما برای ارسال و دریافت ایمیل را دوباره فعال می کند.

بدون هیچ هزینه‌ای برای شما، تا اطلاع ثانوی دسترسی به مجوزهای Microsoft Exchange Plan 1 در Microsoft 365 را برای شما فراهم می‌کنیم.”

رخداد امنیتی تبادل میزبانی Rackspace

تقریباً ۲۴ ساعت بعد در ساعت ۱:۵۷ بامداد در ۳ دسامبر نگذشته بود که Rackspace رسماً اعلام کرد که سرویس Exchange میزبانی آنها از یک حادثه امنیتی رنج می برد.

این اطلاعیه همچنین نشان داد که تکنسین های Rackspace محیط Exchange را خاموش و قطع کرده اند.

Rackspace پست شده:

“پس از تجزیه و تحلیل بیشتر، ما به این نتیجه رسیدیم که این یک حادثه امنیتی است.

تأثیر شناخته شده در بخشی از پلت فرم تبادل میزبانی ما جدا شده است. ما در حال انجام اقدامات لازم برای ارزیابی و محافظت از محیط‌هایمان هستیم.»

دوازده ساعت بعد آن بعدازظهر، صفحه وضعیت را با اطلاعات بیشتری به‌روزرسانی کردند که تیم امنیتی و کارشناسان خارجی آن‌ها همچنان در حال کار بر روی رفع قطعی هستند.

آیا سرویس Rackspace تحت تأثیر آسیب‌پذیری قرار گرفته است؟

Rackspace جزئیات رویداد امنیتی را منتشر نکرده است.

یک رویداد امنیتی به طور کلی شامل یک آسیب‌پذیری است و دو آسیب‌پذیری شدید در حال حاضر در برنامه وجود دارد که در نوامبر ۲۰۲۲ وصله شدند.

این دو آسیب‌پذیری فعلی هستند:

• CVE-2022-41040
  آسیب پذیری جعل درخواست سمت سرور Microsoft Exchange (SSRF)
  حمله جعل درخواست سمت سرور (SSRF) به هکر اجازه می‌دهد تا داده‌های سرور را بخواند و تغییر دهد.
• CVE-2022-41082
  آسیب پذیری اجرای کد از راه دور Microsoft Exchange Server
  آسیب‌پذیری اجرای کد از راه دور آسیب‌پذیری است که در آن مهاجم می‌تواند کدهای مخرب را روی سرور اجرا کند.

یک مشاوره منتشر شده در اکتبر ۲۰۲۲ تاثیر این آسیب پذیری ها را شرح داد:

«یک مهاجم از راه دور تأیید شده می‌تواند حملات SSRF را برای افزایش امتیازات و اجرای کد PowerShell اختیاری در سرورهای آسیب‌پذیر Microsoft Exchange انجام دهد.

از آنجایی که حمله علیه سرور صندوق پستی Microsoft Exchange هدف قرار می‌گیرد، مهاجم می‌تواند به طور بالقوه از طریق حرکت جانبی به محیط‌های Exchange و Active Directory به منابع دیگر دسترسی پیدا کند.

به‌روزرسانی‌های قطعی Rackspace نشان نداده‌اند که مشکل خاصی چیست، فقط این یک حادثه امنیتی است.

جدیدترین به‌روزرسانی وضعیت تا ۴ دسامبر نشان می‌دهد که این سرویس هنوز قطع است و مشتریان تشویق می‌شوند به سرویس Microsoft 365 مهاجرت کنند.

Rackspace موارد زیر را در ۴ دسامبر پست کرد ، ۲۰۲۲ در ۱۲:۳۷ ق.ظ:

“ما به پیشرفت در رسیدگی به این حادثه ادامه می دهیم. در دسترس بودن سرویس شما و امنیت داده های شما از اهمیت بالایی برخوردار است.

ما در تلاش‌های خود برای به حداقل رساندن تأثیرات منفی بر مشتریان، منابع داخلی گسترده‌ای را متعهد کرده‌ایم و تخصص خارجی کلاس جهانی را درگیر کرده‌ایم.

ممکن است آسیب‌پذیری‌های ذکر شده در بالا مربوط به حادثه امنیتی باشد که بر سرویس Rackspace Hosted Exchange تأثیر می‌گذارد.

هیچ اطلاعیه ای مبنی بر به خطر افتادن اطلاعات مشتری وجود ندارد. این رویداد همچنان ادامه دارد.

تصویر ویژه توسط Shutterstock/Orn Rin