Exchange allotjat en Rackspace va patir una interrupció catastròfica a partir del 2 de desembre de 2022 i encara està en curs a partir de les 00:37 del 4 de desembre. Descrits inicialment com a problemes de connectivitat i d’inici de sessió, la guia es va actualitzar finalment per anunciar que estaven tractant amb un incident de seguretat.
Problemes d’intercanvi allotjat de Rackspace
El sistema Rackspace es va caure a primera hora del matí del 2 de desembre de 2022. Inicialment, Rackspace no va saber quin era el problema, i molt menys una ETA de quan es resoldria.
Els clients a Twitter van informar que Rackspace no responia als correus electrònics d’assistència.
Aquest ha estat tot un dia amb #Rackspace. Cada client d’intercanvi allotjat ha estat inactiu durant 14 hores aproximadament. L’assistència no està llegint/responent les entrades. Les actualitzacions no són útils.
Ara em preocupa que hagin estat víctimes d’alguna cosa dolenta com el pirateig ProxyNotShell PoC. https://t.co/jchKsAO3Z7
— Joe Sinkwitz (@CygnusSEO) 2 de desembre de 2022
Un client de Rackspace em va enviar un missatge privat a les xarxes socials divendres per explicar la seva experiència:
“Tots els clients d’Exchange allotjats han caigut durant les últimes 16 hores.
No sé quantes empreses són, però és important.
Estan oferint un rebot de retard de 554 llargs, de manera que les persones que envien correus electrònics no són conscients del rebot durant diverses hores”.
La pàgina oficial d’estat de Rackspace oferia una actualització en funcionament de l’interrupció, però les publicacions inicials no tenien més informació que hi havia una interrupció i s’estava investigant.
El primer actualització oficial va ser el 2 de desembre a les 2:49:
“Estem investigant un problema que afecta els nostres entorns Hosted Exchange. Es publicaran més detalls a mesura que estiguin disponibles”.
Tretze minuts més tard, Rackspace va començar a anomenar-lo un “problema de connectivitat”.
“Estem investigant informes de problemes de connectivitat als nostres entorns Exchange.
Els usuaris poden experimentar un error en accedir a l’Outlook Web App (Webmail) i en sincronitzar els seus clients de correu electrònic”.
A les 6:36 de la matinada, les actualitzacions de Rackspace van descriure el problema en curs com a “problemes de connectivitat i d’inici de sessió”, i més tard aquella tarda a les 13:54 Rackspace va anunciar que encara es trobaven en la “fase d’investigació” de l’interrupció, encara intentant esbrinar què va passar. mal.
I encara l’estaven cridant “Problemes de connectivitat i d’inici de sessió” als seus entorns Cloud Office a les 16:51 d’aquella tarda.
Rackspace recomana migrar a Microsoft 365
Quatre hores més tard, Rackspace es va referir a la situació com un “error important” i va començar a oferir als seus clients llicències gratuïtes del pla 1 de Microsoft Exchange a Microsoft 365 com a solució alternativa fins que entenguessin el problema i poguessin tornar a connectar el sistema.
La guia oficial deia:
“Hem experimentat una fallada important al nostre entorn Hosted Exchange. Tanquem l’entorn de manera proactiva per evitar més problemes mentre continuem treballant per restablir el servei. A mesura que seguim treballant per la causa principal del problema, tenim una solució alternativa que reactivarà la vostra capacitat d’enviar i rebre correus electrònics.
Sense cap cost per a vostè, us proporcionarem accés a les llicències del pla 1 de Microsoft Exchange a Microsoft 365 fins a nou avís”.
Incident de seguretat de Rackspace Hosted Exchange
No va ser fins gairebé 24 hores més tard, a les 1:57 del matí del 3 de desembre, que Rackspace va anunciar oficialment que el seu servei Exchange allotjat patia un incident de seguretat.
L’anunci també va revelar que els tècnics de Rackspace havien apagat i desconnectat l’entorn Exchange.
Rackspace publicat:
“Després d’una anàlisi més detallada, hem determinat que es tracta d’un incident de seguretat.
L’impacte conegut està aïllat en una part de la nostra plataforma Hosted Exchange. Estem prenent les accions necessàries per avaluar i protegir el nostre entorn”.
Dotze hores més tard aquella tarda van actualitzar la pàgina d’estat amb més informació que el seu equip de seguretat i experts externs encara estaven treballant per resoldre l’interrupció.
El servei Rackspace es va veure afectat per una vulnerabilitat?
Rackspace no ha publicat detalls de l’esdeveniment de seguretat.
Un esdeveniment de seguretat generalment implica una vulnerabilitat i actualment hi ha dues vulnerabilitats greus a l’enginy que es van pegar el novembre de 2022.
Aquestes són les dues vulnerabilitats més actuals:
- CVE-2022-41040
Vulnerabilitat de falsificació de sol·licituds del costat del servidor de Microsoft Exchange Server (SSRF).
Un atac de falsificació de sol·licituds del costat del servidor (SSRF) permet a un pirata informàtic llegir i canviar les dades del servidor. - CVE-2022-41082
Vulnerabilitat d’execució de codi remota del Microsoft Exchange Server
Una vulnerabilitat d’execució de codi remota és aquella en què un atacant és capaç d’executar codi maliciós en un servidor.
An Avís publicat l’octubre de 2022 va descriure l’impacte de les vulnerabilitats:
“Un atacant remot autenticat pot realitzar atacs SSRF per augmentar els privilegis i executar codi de PowerShell arbitrari en servidors vulnerables de Microsoft Exchange.
Com que l’atac està dirigit al servidor de bústia de correu de Microsoft Exchange, l’atacant pot accedir a altres recursos mitjançant el moviment lateral als entorns d’Exchange i Active Directory”.
Les actualitzacions d’interrupció de Rackspace no han indicat quin era el problema específic, només que es tractava d’un incident de seguretat.
L’actualització d’estat més actual del 4 de desembre indicava que el servei encara està inactiu i es recomana als clients que migrin al servei de Microsoft 365.
Espai de bastidor va publicar el següent el 4 de desembre de 2022 a les 00:37:
“Continuem avançant per abordar l’incident. La disponibilitat del vostre servei i la seguretat de les vostres dades és de gran importància.
Hem compromès amplis recursos interns i hem compromès una experiència externa de primer nivell en els nostres esforços per minimitzar els impactes negatius per als clients”.
És possible que les vulnerabilitats esmentades anteriorment estiguin relacionades amb l’incident de seguretat que afecta el servei Rackspace Hosted Exchange.
No hi ha hagut cap anunci de si la informació del client s’ha vist compromesa. Aquest esdeveniment encara està en curs.
Imatge destacada de Shutterstock/Orn Rin
