Awaria usługi Exchange Hosted Rackspace z powodu incydentu związanego z bezpieczeństwem

Giełda hostowana przez Rackspace doznała katastrofalnej awarii, która rozpoczęła się 2 grudnia 2022 r. i trwała do 04:37 4 grudnia. Pierwotnie opisane jako problemy z połączeniem i logowaniem, wytyczne zostały ostatecznie zaktualizowane, aby ogłosić, że dotyczą incydentu bezpieczeństwa.

Problemy z serwerem Exchange hostowanym przez Rackspace

System Rackspace przestał działać we wczesnych godzinach porannych 2 grudnia 2022 r. Początkowo Rackspace nie otrzymał żadnej informacji o tym, na czym polega problem, a tym bardziej o przewidywanym czasie jego naprawy.

Użytkownicy na Twitterze zgłosili, że Rackspace nie odpowiada na e-maile z pomocą techniczną.

Użytkownik Rackspace napisał do mnie prywatną wiadomość w mediach społecznościowych w piątek, aby podzielić się swoim doświadczeniem:

„Wszyscy hostowani klienci Exchange przestali działać w ciągu ostatnich 16 godzin.

Nie wiem, jak duża jest to firma, ale jest znacząca.

Obsługują 554 długie opóźnienia w odbijaniu, więc e-maile nie są świadome odrzuceń przez kilka godzin”.

Oficjalna strona stanu Rackspace oferowała bieżące aktualizacje dotyczące awarii, ale początkowe posty nie zawierały żadnych informacji poza tym, że wystąpiła awaria i jest ona badana.

Pierwszy oficjalna aktualizacja był 2 grudnia o 2:49 rano:

„Badamy problem dotyczący naszego hostowanego środowiska Exchange. Więcej szczegółów zostanie ujawnionych, gdy tylko staną się dostępne”.

Trzynaście minut później Rackspace zaczął nazywać to „problemem z połączeniem”.

„Badamy zgłoszenia problemów z łącznością w naszych środowiskach Exchange.

Użytkownicy mogą napotkać błąd podczas uzyskiwania dostępu do aplikacji Outlook Web App (Webmail) i synchronizowania swoich klientów poczty e-mail”.

Do godziny 6:36 aktualizacje Rackspace opisały bieżący problem jako „problemy z połączeniem i logowaniem”, a później tego popołudnia o godzinie 13:54 Rackspace ogłosił, że nadal znajduje się w „fazie dochodzenia” w sprawie awarii, wciąż próbując dowiedzieć się, co poszło źle.

I nadal tak to nazywali „problemy z połączeniem i logowaniem” w swoich środowiskach Cloud Office o 16:51 tego popołudnia.

Rackspace zaleca migrację do platformy Microsoft 365

Cztery godziny później firma Rackspace nazwała tę sytuację „poważną awarią” i zaczęła oferować swoim klientom bezpłatne licencje Microsoft Exchange Plan 1 na platformę Microsoft 365 jako obejście problemu, dopóki nie zorientują się w problemie i nie przywrócą systemu do trybu online.

Oficjalne instrukcje mówią:

„Doświadczyliśmy poważnej awarii w naszym środowisku Hosted Exchange. Proaktywnie zamknęliśmy środowisko, aby uniknąć dalszych problemów, podczas gdy kontynuujemy prace nad przywróceniem usługi. Chociaż nadal pracujemy nad pierwotną przyczyną problemu, mamy alternatywne rozwiązanie, które ponownie aktywuje możliwość wysyłania i odbierania wiadomości e-mail.

Bez żadnych kosztów zapewnimy Ci dostęp do licencji Microsoft Exchange Plan 1 na platformie Microsoft 365 aż do odwołania”.

Incydent związany z bezpieczeństwem Rackspace hostowanym przez Exchange

Dopiero prawie 24 godziny później, 3 grudnia o godzinie 1:57, firma Rackspace oficjalnie ogłosiła, że ​​w ich usłudze Exchange wystąpił incydent związany z bezpieczeństwem.

Ogłoszenie ujawniło ponadto, że technicy Rackspace zamknęli i zamknęli środowisko Exchange.

Opublikowano miejsce w szafie:

„Po dalszej analizie ustaliliśmy, że był to incydent związany z bezpieczeństwem.

Znany wpływ dotyczy tylko części naszej platformy Hosted Exchange. Podejmujemy niezbędne działania w celu oceny i ochrony naszego środowiska”.

Dwanaście godzin później tego popołudnia zaktualizowali stronę stanu, dodając więcej informacji, że ich zespół ds. bezpieczeństwa i zewnętrzni eksperci nadal pracują nad rozwiązaniem problemu.

Czy usługa Rackspace miała wpływ na lukę w zabezpieczeniach?

Rackspace nie ujawnił szczegółów incydentu związanego z bezpieczeństwem.

Zdarzenie związane z bezpieczeństwem zazwyczaj wiąże się z luką w zabezpieczeniach, a obecnie istnieją dwie poważne luki, które zostały załatane w listopadzie 2022 r.

Oto dwie najbardziej aktualne luki:

  • CVE-2022-41040
    Luka w zabezpieczeniach programu Microsoft Exchange Server-Side Request Forgery (SSRF).
    Atak typu server-side request forgery (SSRF) umożliwia hakerowi odczytywanie i modyfikowanie danych na serwerze.
  • CVE-2022-41082
    Luka w zabezpieczeniach programu Microsoft Exchange umożliwiająca zdalne wykonanie kodu
    Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu to taka, w której osoba atakująca może uruchomić złośliwy kod na serwerze.

jakiś porady opublikowane w październiku 2022 r opisał wpływ luki:

„Uwierzytelniony zdalny atakujący może przeprowadzać ataki SSRF w celu eskalacji uprawnień i wykonywania dowolnego kodu PowerShell na wrażliwych serwerach Microsoft Exchange.

Ponieważ celem ataku jest serwer skrzynek pocztowych Microsoft Exchange, osoba atakująca może potencjalnie uzyskać dostęp do innych zasobów poprzez ruch boczny do środowisk Exchange i Active Directory”.

Aktualizacje dotyczące awarii Rackspace nie wskazywały, na czym polegał konkretny problem, a jedynie, że był to incydent związany z bezpieczeństwem.

Najnowsza aktualizacja stanu z 4 grudnia stwierdza, że ​​usługa nadal nie działa, a klientów zachęca się do przejścia na usługę Microsoft 365.

Przestrzeń regałowa opublikował następujące 4 grudnia 2022 o 00:37:

„Ciągle czynimy postępy w usuwaniu incydentu. Dostępność Twojej usługi i bezpieczeństwo Twoich danych mają ogromne znaczenie.

Zainwestowaliśmy znaczne zasoby wewnętrzne i zaangażowaliśmy światowej klasy ekspertów zewnętrznych w nasze starania, aby zminimalizować negatywny wpływ na klientów”.

Powyższe luki mogą być związane z incydentem bezpieczeństwa mającym wpływ na usługę Rackspace Hosted Exchange.

Nie było żadnego ogłoszenia, czy dane klientów zostały naruszone. To wydarzenie nadal trwa.


Wyróżniony obraz Shutterstock/Orn Rin