Yönetilen bulut barındırma hizmetleri şirketi Rackspace Technology, 2 Aralık’ta binlerce küçük ve orta ölçekli işletme müşterisinin e-posta hizmetlerini kesintiye uğratan büyük çaplı fidye yazılımı saldırısının, sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına yönelik sıfırıncı gün açıklarından yararlanma yoluyla geldiğini doğruladı. Microsoft Exchange Server’da, diğer adıyla CVE-2022-41080.
Rackspace’in baş güvenlik sorumlusu Karen O’Reilly-Smith, Dark Reading’e bir e-posta yanıtında, “Artık bu davadaki temel nedenin CVE-2022-41080 ile ilişkili sıfır günlük bir açıktan yararlanma ile ilgili olduğundan son derece eminiz.” “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve yararlanılabilen bir uzaktan kod yürütme zincirinin parçası olduğuna dair notlar eklemedi.”
CVE-2022-41080, Microsoft’un Kasım ayında yamalı.
Rackspace’in harici bir danışmanı, Dark Reading’e Rackspace’in, şirketin Exchange Sunucularını kapatabileceğinden korktuğu “kimlik doğrulama hatalarına” neden olduğu yönündeki raporlarla ilgili endişeler nedeniyle ProxyNotShell yamasını uygulamayı ertelediğini söyledi. Rackspace daha önce, Microsoft’un saldırıları engellemenin bir yolu olarak gördüğü güvenlik açıkları için önerilen azaltmaları uygulamıştı.
Rackspace, ihlal soruşturmasına yardımcı olması için CrowdStrike’ı işe aldı ve güvenlik firması, Play fidye yazılımı grubunun CVE kullanarak CVE-2022-41082 olarak bilinen bir sonraki aşama ProxyNotShell RCE kusurunu tetiklemek için yeni bir tekniği nasıl kullandığını ayrıntılarıyla anlatan bir blog gönderisinde bulgularını paylaştı. -2022-41080. CrowdStrike’ın gönderisi o sırada Rackspace’in adını vermiyordu, ancak şirketin dış danışmanı Dark Reading’e Play’in hafifletme baypas yöntemi hakkındaki araştırmanın CrowdStrike’ın barındırma hizmetleri sağlayıcısına yapılan saldırıyla ilgili araştırmasının sonucu olduğunu söyledi.
Microsoft geçen ay Dark Reading’e, saldırının daha önce yayınlanan ProxyNotShell azaltmalarını atlasa da asıl yamanın kendisini atlamadığını söyledi.
Yama uygulamak, eğer yapabilirseniz cevaptır” diyor ve şirketin, hafifletmelerin etkili olduğunun söylendiği ve yamanın kendi sistemlerini kapatma riskiyle geldiği bir zamanda yamayı uygulama riskini ciddi şekilde değerlendirdiğini belirtiyor. “Değerlendirdiler, düşündüler ve tarttılar [the risk] Harici danışman, “o sırada bunu biliyorlardı” diyor. Sunucular kapalı kaldığı için şirket hala yamayı uygulamadı.
Bir Rackspace sözcüsü, Rackspace’in fidye yazılımı saldırganlarına ödeme yapıp yapmadığı konusunda yorum yapmadı.