قطع شدن صرافی میزبانی Rackspace به دلیل حادثه امنیتی
Exchange به میزبانی Rackspace از 2 دسامبر 2022 دچار قطعی فاجعهبار شد و تا ساعت 12:37 بامداد 4 دسامبر همچنان ادامه دارد. این راهنما که در ابتدا به عنوان مشکلات اتصال و ورود توصیف شد، در نهایت به روز شد تا اعلام شود که آنها با یک حادثه امنیتی سروکار دارند.
مشکلات تبادل میزبانی Rackspace
سیستم Rackspace در ساعات اولیه صبح 2 دسامبر 2022 از کار افتاد. در ابتدا هیچ خبری از Rackspace در مورد این مشکل وجود نداشت، بسیار کمتر از زمان حل شدن آن.
مشتریان در توییتر گزارش دادند که Rackspace به ایمیل های پشتیبانی پاسخ نمی دهد.
این روز کاملا با #فضای قفسه ای. هر مشتری صرافی میزبانی شده برای 14 ساعت یا بیشتر از کار افتاده است. پشتیبانی خواندن/پاسخ دادن به بلیط ها نیست. به روز رسانی ها مفید نیستند.
من اکنون نگران هستم که آنها قربانی چیز بدی مانند هک ProxyNotShell PoC شدند. https://t.co/jchKsAO3Z7
– جو سینکویتس (@CygnusSEO) 2 دسامبر 2022
یکی از مشتریان Rackspace روز جمعه از طریق رسانه های اجتماعی به من پیام خصوصی داد تا تجربه خود را بیان کنم:
«همه مشتریان Exchange میزبانی شده در 16 ساعت گذشته کاهش یافته است.
مطمئن نیستم که چند شرکت است، اما مهم است.
آنها با تاخیر طولانی مدت 554 را ارائه می دهند، بنابراین افرادی که ایمیل ارسال می کنند تا چندین ساعت از جهش مطلع نیستند.
صفحه رسمی وضعیت Rackspace یک بهروزرسانی در حال اجرا از قطع را ارائه میدهد، اما پستهای اولیه هیچ اطلاعات دیگری جز قطعی نداشتند و در حال بررسی بود.
اولین به روز رسانی رسمی در 2 دسامبر در ساعت 2:49 بامداد بود:
“ما در حال بررسی مشکلی هستیم که بر محیط های Hosted Exchange ما تاثیر می گذارد. جزئیات بیشتر به محض در دسترس قرار گرفتن پست خواهد شد.»
سیزده دقیقه بعد Rackspace شروع به نامیدن آن “مشکل اتصال” کرد.
ما در حال بررسی گزارشهای مربوط به مشکلات اتصال به محیطهای Exchange خود هستیم.
کاربران ممکن است هنگام دسترسی به برنامه وب Outlook (Webmail) و همگام سازی کلاینت(های) ایمیل خود با خطا مواجه شوند.»
در ساعت 6:36 صبح، بهروزرسانیهای Rackspace مشکل جاری را بهعنوان «مشکلات اتصال و ورود به سیستم» توصیف کردند و بعد از ظهر همان روز در ساعت 1:54 بعد از ظهر Rackspace اعلام کرد که هنوز در «مرحله تحقیق» قطع هستند، و هنوز در تلاش برای کشف آنچه رخ داده است هستند. اشتباه.
و آنها هنوز آن را «مشکلات اتصال و ورود» در محیطهای Cloud Office خود در ساعت 4:51 بعدازظهر آن روز میخواندند.
Rackspace مهاجرت به Microsoft 365 را توصیه می کند
چهار ساعت بعد Rackspace از این وضعیت به عنوان یک “شکست قابل توجه” یاد کرد و شروع به ارائه مجوزهای رایگان Microsoft Exchange Plan 1 در Microsoft 365 به عنوان راه حل کرد تا زمانی که مشکل را درک کنند و بتوانند سیستم را دوباره آنلاین کنند.
در دستورالعمل رسمی آمده است:
“ما یک شکست قابل توجه در محیط تبادل میزبانی خود تجربه کردیم. ما به طور فعال محیط را خاموش می کنیم تا در حین ادامه کار برای بازگرداندن سرویس، از هر گونه مشکل بیشتر جلوگیری کنیم. همانطور که ما به کار برای یافتن علت اصلی مشکل ادامه می دهیم، راه حل جایگزینی داریم که توانایی شما برای ارسال و دریافت ایمیل را دوباره فعال می کند.
بدون هیچ هزینه ای برای شما، تا اطلاع ثانوی دسترسی به مجوزهای Microsoft Exchange Plan 1 در Microsoft 365 را برای شما فراهم می کنیم.
رخداد امنیتی تبادل میزبانی Rackspace
تقریباً 24 ساعت بعد در ساعت 1:57 بامداد 3 دسامبر نگذشته بود که Rackspace رسماً اعلام کرد که سرویس Exchange میزبانی آنها از یک حادثه امنیتی رنج می برد.
این اعلامیه همچنین نشان داد که تکنسین های Rackspace محیط Exchange را خاموش و قطع کرده اند.
Rackspace ارسال شده:
«پس از تجزیه و تحلیل بیشتر، ما متوجه شدیم که این یک حادثه امنیتی است.
تأثیر شناخته شده در بخشی از بستر تبادل میزبانی ما جدا شده است. ما در حال انجام اقدامات لازم برای ارزیابی و حفاظت از محیط زیست خود هستیم.»
دوازده ساعت بعد همان بعد از ظهر، آنها صفحه وضعیت را با اطلاعات بیشتری به روز کردند که تیم امنیتی آنها و کارشناسان خارجی هنوز در حال کار بر روی رفع قطعی هستند.
آیا سرویس Rackspace تحت تأثیر آسیبپذیری قرار گرفته است؟
Rackspace جزئیات این رویداد امنیتی را منتشر نکرده است.
یک رویداد امنیتی به طور کلی شامل یک آسیبپذیری است و دو آسیبپذیری شدید در حال حاضر در برنامه وجود دارد که در نوامبر 2022 وصله شدند.
این دو آسیب پذیری فعلی هستند:
- CVE-2022-41040
آسیب پذیری جعل درخواست سمت سرور Microsoft Exchange (SSRF).
حمله جعل درخواست سمت سرور (SSRF) به هکر اجازه می دهد تا داده های سرور را بخواند و تغییر دهد. - CVE-2022-41082
آسیب پذیری اجرای کد از راه دور Microsoft Exchange Server
آسیبپذیری Remote Code Execution آسیبپذیری است که در آن مهاجم میتواند کدهای مخرب را روی سرور اجرا کند.
توصیه ای که در اکتبر 2022 منتشر شد، تأثیر این آسیب پذیری ها را شرح داد:
یک مهاجم از راه دور تأیید شده میتواند حملات SSRF را برای افزایش امتیازات و اجرای کدهای PowerShell خودسرانه روی سرورهای آسیبپذیر Microsoft Exchange انجام دهد.
از آنجایی که حمله به سرور Microsoft Exchange Mailbox هدف قرار می گیرد، مهاجم می تواند به طور بالقوه از طریق حرکت جانبی به محیط های Exchange و Active Directory به منابع دیگر دسترسی پیدا کند.
بهروزرسانیهای قطعی Rackspace نشان ندادهاند که مشکل خاصی چیست، فقط یک حادثه امنیتی است.
آخرین به روز رسانی وضعیت تا 4 دسامبر بیان کرد که این سرویس هنوز قطع است و مشتریان تشویق می شوند به سرویس Microsoft 365 مهاجرت کنند.
Rackspace موارد زیر را در 4 دسامبر 2022 در ساعت 12:37 صبح ارسال کرد:
ما به پیشرفت در رسیدگی به این حادثه ادامه می دهیم. در دسترس بودن سرویس شما و امنیت داده های شما از اهمیت بالایی برخوردار است.
ما منابع داخلی گستردهای را متعهد کردهایم و در تلاشهای خود برای به حداقل رساندن اثرات منفی بر مشتریان، از تخصص خارجی در سطح جهانی استفاده کردهایم.»
این احتمال وجود دارد که آسیب پذیری های ذکر شده در بالا مربوط به حادثه امنیتی باشد که بر سرویس Rackspace Hosted Exchange تأثیر می گذارد.
هیچ اعلامی در مورد اینکه آیا اطلاعات مشتری به خطر افتاده است یا خیر وجود ندارد. این رویداد همچنان ادامه دارد.
تصویر برجسته توسط Shutterstock/Orn Rin