Exchange میزبانی Rackspace از ۲ دسامبر ۲۰۲۲ دچار قطعی فاجعهبار شد و تا ساعت ۱۲:۳۷ بامداد ۴ دسامبر همچنان ادامه دارد. در ابتدا به عنوان مشکلات اتصال و ورود به سیستم توضیح داده شد، این راهنما در نهایت بهروزرسانی شد تا اعلام شود که آنها با یک حادثه امنیتی سروکار دارند.
مشکلات تبادل میزبانی Rackspace
سیستم Rackspace در ساعات اولیه بامداد ۲ دسامبر ۲۰۲۲ از کار افتاد. در ابتدا هیچ خبری از Rackspace در مورد این مشکل وجود نداشت، بسیار کمتر از زمان حل شدن آن.
مشتریان در توییتر گزارش دادند که Rackspace به ایمیلهای پشتیبانی پاسخ نمیدهد.
این روز با #Rackspace. هر مشتری صرافی میزبانی شده برای ۱۴ ساعت یا بیشتر از کار افتاده است. پشتیبانی خواندن/پاسخ دادن به بلیط ها نیست. به روز رسانی ها مفید نیستند.
من اکنون نگران هستم که آنها قربانی چیز بدی مانند هک ProxyNotShell PoC شده اند. https://t.co/jchKsAO3Z7
— جو سینکویتس (@CygnusSEO) 2 دسامبر، ۲۰۲۲
یک مشتری Rackspace در روز جمعه از طریق رسانه های اجتماعی به من پیام خصوصی داد تا تجربه خود را بیان کنم:
“همه سرویس گیرندگان Exchange میزبانی شده طی ۱۶ ساعت گذشته از کار افتاده اند.
مطمئن نیست که چند شرکت است، اما مهم است.
آنها با تأخیر طولانی ۵۵۴ ارسال میکنند، بنابراین افرادی که ایمیل ارسال میکنند تا چندین ساعت از بازگشت مطلع نمیشوند.”
صفحه رسمی وضعیت Rackspace یک بهروزرسانی در حال اجرا از قطعی ارائه میدهد، اما پستهای اولیه هیچ اطلاعاتی جز قطعی نداشتند و در حال بررسی بود.
اولین بهروزرسانی رسمی در دسامبر بود دوم در ساعت ۲:۴۹ بامداد:
«ما در حال بررسی مشکلی هستیم که بر محیطهای تبادل میزبانی ما تأثیر میگذارد. جزئیات بیشتر به محض در دسترس قرار گرفتن پست خواهند شد.”
سیزده دقیقه بعد Rackspace شروع به نامیدن آن “مشکل اتصال” کرد.
“ما در حال بررسی گزارشات مربوط به مشکلات اتصال به محیط های Exchange خود هستیم.
کاربران ممکن است هنگام دسترسی به برنامه وب Outlook (Webmail) و همگام سازی کلاینت(های) ایمیل خود با خطا مواجه شوند.»
در ساعت ۶:۳۶ صبح، بهروزرسانیهای Rackspace مشکل جاری را بهعنوان «مشکلات اتصال و ورود به سیستم» توصیف کردند، سپس بعد از ظهر همان روز در ساعت ۱:۵۴ بعد از ظهر Rackspace اعلام کرد که هنوز در «مرحله بررسی» قطعی هستند، و هنوز در تلاش برای کشف کردن هستند. مشکل را مشخص کنید.
و هنوز آن را صدا می کردند ” مشکلات اتصال و ورود به سیستم” در محیط های Cloud Office آنها در ساعت ۴:۵۱ بعدازظهر همان روز.
Rackspace مهاجرت به Microsoft 365 را توصیه می کند
چهار ساعت بعد Rackspace از این وضعیت به عنوان یک “شکست قابل توجه” یاد کرد و شروع به ارائه مجوزهای رایگان Microsoft Exchange Plan 1 در Microsoft 365 به عنوان یک راه حل کرد تا زمانی که مشکل را درک کنند و بتوانند سیستم را دوباره آنلاین کنند.
>
راهنمای رسمی بیان کرد:
“ما یک شکست قابل توجه در محیط تبادل میزبانی خود تجربه کردیم. ما به طور فعال محیط را خاموش می کنیم تا در حین ادامه کار برای بازگرداندن سرویس، از هر گونه مشکل بیشتر جلوگیری کنیم. همانطور که ما به کار برای یافتن علت اصلی مشکل ادامه می دهیم، یک راه حل جایگزین داریم که توانایی شما برای ارسال و دریافت ایمیل را دوباره فعال می کند.
بدون هیچ هزینهای برای شما، تا اطلاع ثانوی دسترسی به مجوزهای Microsoft Exchange Plan 1 در Microsoft 365 را برای شما فراهم میکنیم.”
رخداد امنیتی تبادل میزبانی Rackspace
تقریباً ۲۴ ساعت بعد در ساعت ۱:۵۷ بامداد در ۳ دسامبر نگذشته بود که Rackspace رسماً اعلام کرد که سرویس Exchange میزبانی آنها از یک حادثه امنیتی رنج می برد.
این اطلاعیه همچنین نشان داد که تکنسین های Rackspace محیط Exchange را خاموش و قطع کرده اند.
Rackspace پست شده:
“پس از تجزیه و تحلیل بیشتر، ما به این نتیجه رسیدیم که این یک حادثه امنیتی است.
تأثیر شناخته شده در بخشی از پلت فرم تبادل میزبانی ما جدا شده است. ما در حال انجام اقدامات لازم برای ارزیابی و محافظت از محیطهایمان هستیم.»
دوازده ساعت بعد آن بعدازظهر، صفحه وضعیت را با اطلاعات بیشتری بهروزرسانی کردند که تیم امنیتی و کارشناسان خارجی آنها همچنان در حال کار بر روی رفع قطعی هستند.
آیا سرویس Rackspace تحت تأثیر آسیبپذیری قرار گرفته است؟
Rackspace جزئیات رویداد امنیتی را منتشر نکرده است.
یک رویداد امنیتی به طور کلی شامل یک آسیبپذیری است و دو آسیبپذیری شدید در حال حاضر در برنامه وجود دارد که در نوامبر ۲۰۲۲ وصله شدند.
این دو آسیبپذیری فعلی هستند:
- CVE-2022-41040
آسیب پذیری جعل درخواست سمت سرور Microsoft Exchange (SSRF)
حمله جعل درخواست سمت سرور (SSRF) به هکر اجازه میدهد تا دادههای سرور را بخواند و تغییر دهد. - CVE-2022-41082
آسیب پذیری اجرای کد از راه دور Microsoft Exchange Server
آسیبپذیری اجرای کد از راه دور آسیبپذیری است که در آن مهاجم میتواند کدهای مخرب را روی سرور اجرا کند.
یک مشاوره منتشر شده در اکتبر ۲۰۲۲ تاثیر این آسیب پذیری ها را شرح داد:
«یک مهاجم از راه دور تأیید شده میتواند حملات SSRF را برای افزایش امتیازات و اجرای کد PowerShell اختیاری در سرورهای آسیبپذیر Microsoft Exchange انجام دهد.
از آنجایی که حمله علیه سرور صندوق پستی Microsoft Exchange هدف قرار میگیرد، مهاجم میتواند به طور بالقوه از طریق حرکت جانبی به محیطهای Exchange و Active Directory به منابع دیگر دسترسی پیدا کند.
بهروزرسانیهای قطعی Rackspace نشان ندادهاند که مشکل خاصی چیست، فقط این یک حادثه امنیتی است.
جدیدترین بهروزرسانی وضعیت تا ۴ دسامبر نشان میدهد که این سرویس هنوز قطع است و مشتریان تشویق میشوند به سرویس Microsoft 365 مهاجرت کنند.
Rackspace موارد زیر را در ۴ دسامبر پست کرد ، ۲۰۲۲ در ۱۲:۳۷ ق.ظ:
“ما به پیشرفت در رسیدگی به این حادثه ادامه می دهیم. در دسترس بودن سرویس شما و امنیت داده های شما از اهمیت بالایی برخوردار است.
ما در تلاشهای خود برای به حداقل رساندن تأثیرات منفی بر مشتریان، منابع داخلی گستردهای را متعهد کردهایم و تخصص خارجی کلاس جهانی را درگیر کردهایم.
ممکن است آسیبپذیریهای ذکر شده در بالا مربوط به حادثه امنیتی باشد که بر سرویس Rackspace Hosted Exchange تأثیر میگذارد.
هیچ اطلاعیه ای مبنی بر به خطر افتادن اطلاعات مشتری وجود ندارد. این رویداد همچنان ادامه دارد.
تصویر ویژه توسط Shutterstock/Orn Rin