Rackspace, bir fidye yazılımı olayının Barındırılan Exchange ortamını etkilediğini ve hizmet kesintilerine neden olduğunu söyledi.
2 Aralık’ta müşteriler, Exchange ortamlarına bağlanma ve oturum açma sorunları yaşamaya başladı. Rackspace, Barındırılan Exchange ortamlarını etkileyen bir sorunu araştırmaya başladı ve keşfetti.
Şimdi Rackspace, hizmet kesintilerine neden olan şeyin aslında bir fidye yazılımı olayı olduğunu duyurdu.
Soruşturma devam ederken, hangi fidye yazılımının iş başında olduğu veya tehdit aktörünün ilk erişimi nasıl elde ettiği hakkında bilinen hiçbir ayrıntı yok. Bir basın açıklamasında Rackspace, olayın Barındırılan Exchange işinden izole edildiğini söyledi. Rackspace, fidye yazılım gruplarının kurbanları üzerinde ekstra baskı uygulamak için kullandıkları bilinen sızıntı sitelerinin hiçbirinde görünmedi, ancak bunun nedeni devam eden müzakereler olabilir.
Barındırılan Exchange
Rackspace’in Barındırılan Exchange müşterileri çoğunlukla, özel bir şirket içi Exchange sunucusu çalıştırma ihtiyacı veya personeli olmayan küçük ve orta ölçekli işletmelerdir. Kesinti, MAPI/RPC, POP, IMAP, SMTP ve ActiveSync dahil olmak üzere Barındırılan Exchange ortamındaki tüm hizmetleri ve çevrimiçi e-posta yönetimine erişim sağlayan Outlook Web Access (OWA) arabirimini etkilemeye devam ediyor.
geçici çözüm
Rackspace, kesinti devam ederken etkilenen müşterilerin geçici bir yönlendirme uygulamasına yardımcı olacağını söyledi:
“Microsoft 365’i kurarken geçici bir çözüm olarak, Hosted Exchange kullanıcısına gönderilen postanın harici bir e-posta adresine yönlendirilmesine izin verecek bir iletme seçeneği de uygulamak mümkündür. Lütfen bu seçeneği talep etme talimatlarını içeren bir bilet için müşteri hesabınızda oturum açın. Müşteriler, her bir kullanıcısı için yönlendirme kuralının uygulanmasını talep etmek için bilete yanıt vermelidir.
Darbe
8-K SEC dosyalamasında Rackspace, fidye yazılımı saldırısının 30 milyon $’lık Hosted Exchange işi üzerindeki etkisi nedeniyle bir gelir kaybı beklediğini belirtiyor. Bir şirketle ilgili, o şirketin hissedarları veya Menkul Kıymetler ve Borsa Komisyonu (SEC) için önemli olabilecek herhangi bir olayı bildirmek için 8-K formu gereklidir.
saldırı vektörü
Olası bir saldırı vektörü, güvenlik araştırmacısı Kevin Beaumont tarafından işaret edildi. Bunun nedeni, ProxyNotShell olarak bilinen CVE-2022-41040 ve CVE-2022-41082 olarak izlenen Microsoft Exchange güvenlik açıklarının kullanılması olabilir.
Beaumont, şu anda çevrimdışı olan bir Rackspace Exchange sunucu kümesinin, olayın ifşasından birkaç gün önce Ağustos 2022’ye ait bir yapı numarası çalıştırdığını tespit etti. ProxyNotShell güvenlik açıkları yalnızca Kasım ayında giderildiğinden, tehdit aktörlerinin açıklardan yararlanarak Rackspace sunucularını ihlal etmesi olasıdır.
Beaumont’un gönderisinde belirttiği önemli bir sonuç şudur:
“Barındırılan Exchange gibi paylaşılan bir küme çalıştıran bir yönetilen hizmet sağlayıcısı (MSP) için bu, bir müşterinin güvenliği ihlal edilmiş bir hesabının barındırılan kümenin tamamını tehlikeye atacağı anlamına gelir.”
Rackspace’de olan da buydu. Bunun sana olmasına izin verme.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.