قطع شدن صرافی میزبانی Rackspace به دلیل حادثه امنیتی


Exchange به میزبانی Rackspace از 2 دسامبر 2022 دچار قطعی فاجعه‌بار شد و تا ساعت 12:37 بامداد 4 دسامبر همچنان ادامه دارد. این راهنما که در ابتدا به عنوان مشکلات اتصال و ورود توصیف شد، در نهایت به روز شد تا اعلام شود که آنها با یک حادثه امنیتی سروکار دارند.

مشکلات تبادل میزبانی Rackspace

سیستم Rackspace در ساعات اولیه صبح 2 دسامبر 2022 از کار افتاد. در ابتدا هیچ خبری از Rackspace در مورد این مشکل وجود نداشت، بسیار کمتر از زمان حل شدن آن.

مشتریان در توییتر گزارش دادند که Rackspace به ایمیل های پشتیبانی پاسخ نمی دهد.

یکی از مشتریان Rackspace روز جمعه از طریق رسانه های اجتماعی به من پیام خصوصی داد تا تجربه خود را بیان کنم:

«همه مشتریان Exchange میزبانی شده در 16 ساعت گذشته کاهش یافته است.

مطمئن نیستم که چند شرکت است، اما مهم است.

آنها با تاخیر طولانی مدت 554 را ارائه می دهند، بنابراین افرادی که ایمیل ارسال می کنند تا چندین ساعت از جهش مطلع نیستند.

صفحه رسمی وضعیت Rackspace یک به‌روزرسانی در حال اجرا از قطع را ارائه می‌دهد، اما پست‌های اولیه هیچ اطلاعات دیگری جز قطعی نداشتند و در حال بررسی بود.

اولین به روز رسانی رسمی در 2 دسامبر در ساعت 2:49 بامداد بود:

“ما در حال بررسی مشکلی هستیم که بر محیط های Hosted Exchange ما تاثیر می گذارد. جزئیات بیشتر به محض در دسترس قرار گرفتن پست خواهد شد.»

سیزده دقیقه بعد Rackspace شروع به نامیدن آن “مشکل اتصال” کرد.

ما در حال بررسی گزارش‌های مربوط به مشکلات اتصال به محیط‌های Exchange خود هستیم.

کاربران ممکن است هنگام دسترسی به برنامه وب Outlook (Webmail) و همگام سازی کلاینت(های) ایمیل خود با خطا مواجه شوند.»

در ساعت 6:36 صبح، به‌روزرسانی‌های Rackspace مشکل جاری را به‌عنوان «مشکلات اتصال و ورود به سیستم» توصیف کردند و بعد از ظهر همان روز در ساعت 1:54 بعد از ظهر Rackspace اعلام کرد که هنوز در «مرحله تحقیق» قطع هستند، و هنوز در تلاش برای کشف آنچه رخ داده است هستند. اشتباه.

و آن‌ها هنوز آن را «مشکلات اتصال و ورود» در محیط‌های Cloud Office خود در ساعت 4:51 بعدازظهر آن روز می‌خواندند.

Rackspace مهاجرت به Microsoft 365 را توصیه می کند

چهار ساعت بعد Rackspace از این وضعیت به عنوان یک “شکست قابل توجه” یاد کرد و شروع به ارائه مجوزهای رایگان Microsoft Exchange Plan 1 در Microsoft 365 به عنوان راه حل کرد تا زمانی که مشکل را درک کنند و بتوانند سیستم را دوباره آنلاین کنند.

در دستورالعمل رسمی آمده است:

“ما یک شکست قابل توجه در محیط تبادل میزبانی خود تجربه کردیم. ما به طور فعال محیط را خاموش می کنیم تا در حین ادامه کار برای بازگرداندن سرویس، از هر گونه مشکل بیشتر جلوگیری کنیم. همانطور که ما به کار برای یافتن علت اصلی مشکل ادامه می دهیم، راه حل جایگزینی داریم که توانایی شما برای ارسال و دریافت ایمیل را دوباره فعال می کند.

بدون هیچ هزینه ای برای شما، تا اطلاع ثانوی دسترسی به مجوزهای Microsoft Exchange Plan 1 در Microsoft 365 را برای شما فراهم می کنیم.

رخداد امنیتی تبادل میزبانی Rackspace

تقریباً 24 ساعت بعد در ساعت 1:57 بامداد 3 دسامبر نگذشته بود که Rackspace رسماً اعلام کرد که سرویس Exchange میزبانی آنها از یک حادثه امنیتی رنج می برد.

این اعلامیه همچنین نشان داد که تکنسین های Rackspace محیط Exchange را خاموش و قطع کرده اند.

Rackspace ارسال شده:

«پس از تجزیه و تحلیل بیشتر، ما متوجه شدیم که این یک حادثه امنیتی است.

تأثیر شناخته شده در بخشی از بستر تبادل میزبانی ما جدا شده است. ما در حال انجام اقدامات لازم برای ارزیابی و حفاظت از محیط زیست خود هستیم.»

دوازده ساعت بعد همان بعد از ظهر، آنها صفحه وضعیت را با اطلاعات بیشتری به روز کردند که تیم امنیتی آنها و کارشناسان خارجی هنوز در حال کار بر روی رفع قطعی هستند.

آیا سرویس Rackspace تحت تأثیر آسیب‌پذیری قرار گرفته است؟

Rackspace جزئیات این رویداد امنیتی را منتشر نکرده است.

یک رویداد امنیتی به طور کلی شامل یک آسیب‌پذیری است و دو آسیب‌پذیری شدید در حال حاضر در برنامه وجود دارد که در نوامبر 2022 وصله شدند.

این دو آسیب پذیری فعلی هستند:

  • CVE-2022-41040
    آسیب پذیری جعل درخواست سمت سرور Microsoft Exchange (SSRF).
    حمله جعل درخواست سمت سرور (SSRF) به هکر اجازه می دهد تا داده های سرور را بخواند و تغییر دهد.
  • CVE-2022-41082
    آسیب پذیری اجرای کد از راه دور Microsoft Exchange Server
    آسیب‌پذیری Remote Code Execution آسیب‌پذیری است که در آن مهاجم می‌تواند کدهای مخرب را روی سرور اجرا کند.

توصیه ای که در اکتبر 2022 منتشر شد، تأثیر این آسیب پذیری ها را شرح داد:

یک مهاجم از راه دور تأیید شده می‌تواند حملات SSRF را برای افزایش امتیازات و اجرای کدهای PowerShell خودسرانه روی سرورهای آسیب‌پذیر Microsoft Exchange انجام دهد.

از آنجایی که حمله به سرور Microsoft Exchange Mailbox هدف قرار می گیرد، مهاجم می تواند به طور بالقوه از طریق حرکت جانبی به محیط های Exchange و Active Directory به منابع دیگر دسترسی پیدا کند.

به‌روزرسانی‌های قطعی Rackspace نشان نداده‌اند که مشکل خاصی چیست، فقط یک حادثه امنیتی است.

آخرین به روز رسانی وضعیت تا 4 دسامبر بیان کرد که این سرویس هنوز قطع است و مشتریان تشویق می شوند به سرویس Microsoft 365 مهاجرت کنند.

Rackspace موارد زیر را در 4 دسامبر 2022 در ساعت 12:37 صبح ارسال کرد:

ما به پیشرفت در رسیدگی به این حادثه ادامه می دهیم. در دسترس بودن سرویس شما و امنیت داده های شما از اهمیت بالایی برخوردار است.

ما منابع داخلی گسترده‌ای را متعهد کرده‌ایم و در تلاش‌های خود برای به حداقل رساندن اثرات منفی بر مشتریان، از تخصص خارجی در سطح جهانی استفاده کرده‌ایم.»

این احتمال وجود دارد که آسیب پذیری های ذکر شده در بالا مربوط به حادثه امنیتی باشد که بر سرویس Rackspace Hosted Exchange تأثیر می گذارد.

هیچ اعلامی در مورد اینکه آیا اطلاعات مشتری به خطر افتاده است یا خیر وجود ندارد. این رویداد همچنان ادامه دارد.


تصویر برجسته توسط Shutterstock/Orn Rin





منبع