American Cloud Computing Hizmetleri Sağlayıcısı Rackspace, barındırılan Microsoft Exchange ortamlarını etkileyen devam eden bir kesinti ve muhtemelen binlerce müşterinin bir güvenlik olayından kaynaklandığını söyledi.
Etkilenen hizmetlerin listesi, e -postayı çevrimiçi yönetmek için barındırılan Exchange örneğine erişmek için kullanılan MAPI/RPC, POP, IMAP, SMTP, ActiveSync ve Outlook Web Erişim (OWA) arabirimini içerir.
Rackspace, 02: 49 AM EST'de kesintiyi kabul ettiğinde, "Barındırılan değişim ortamlarımızı etkileyen bir sorunu araştırıyoruz. Mevcut hale geldikçe daha fazla ayrıntı yayınlanacak." Dedi.
15 saatten fazla bir süre sonra ve "sistem kesintisi" olarak tanımladığı şey hakkında herhangi bir bilgi olmadan birden fazla güncelleme, şirket "barındırılan değişim ortamlarını etkileyen bir sorunun farkında" olduğunu ve mühendislik ekiplerinin çalışmaya devam ettiğini söyledi. bir çözüme. "
Etkilenen müşterilere, kesintinin kök nedeni hakkında ayrıntılara sahip olmalarına rağmen, en son güncellemeler için durum sayfasını kontrol etmeleri tavsiye edildi.
Yanıt olarak, Rackspace'in Irked müşterileri, sosyal medyadaki şirketten, bu kesintinin arkasındaki sorunun ne zaman ele alınacağı ve başka bir, daha şeffaf, yönetilen servis sağlayıcısına (MSP) geçme planları için bir ETA sağlamasını istedi.
Neredeyse yirmi dört saat sonra, 01:57 EST'de Rackspace, şirketin barındırılan değişim ortamını ayırmaya zorlayan "barındırılan değişim platformumuzun bir kısmına" izole edilen bir güvenlik olayı olan kesintinin gerçek nedenini açıkladı.
Şirket, "2 Aralık 2022 Cuma günü, barındırılan değişim ortamımızı etkileyen bir sorunun farkına vardık. Etkinin kapsamını ve ciddiyetini anlamak için tetiklenirken proaktif olarak güçlendirildik ve barındırılan değişim ortamını ayırdık." Dedi.
"Daha fazla analizden sonra, bunun bir güvenlik olayı olduğunu belirledik. Bilinen etki, barındırılan değişim platformumuzun bir kısmına izole edildi."
Bu, sınırlı bilgiler nedeniyle, kesintinin kötü amaçlı yazılım veya fidye yazılımı saldırısının sonucu olabileceğinden korktuklarını söyledikleri bazı endişelerini doğrular.
Rackspace'in Küresel Halkla İlişkiler Başkanı Natalie Silva, Cuma akşamı gönderilen bir e -postayla BleepingComputer'a MSP'nin etkilenen müşterilere, kesintiye uğrayana kadar e -postalarını nasıl geçecekleri konusunda Microsoft Exchange Plan 1 lisansları ve talimatlar sağladığını söyledi.
Silva, "Sorunun temel nedeni üzerinde çalışmaya devam ederken, müşterilerimizin kendilerine ücretsiz olarak alternatif bir e-posta çözümüne erişim sağlayarak e-posta gönderme ve alma yeteneğini yeniden etkinleştirecek alternatif bir çözüm sağladık." söz konusu.
"Bu çözüm, etkilenen müşterilerimizin mümkün olan en kısa sürede düzenli işlere devam etmelerini sağlayacaktır."
Ücretsiz lisansların nasıl etkinleştirileceğine ve kullanıcıların posta kutularının Microsoft 365'e nasıl geçileceğine dair ayrıntılı talimatlar Rackspace'in olay raporunda bulunabilir.
Rackspace saldırı hakkında çok az bilgi paylaşırken, siber güvenlik uzmanı Kevin Beaumont olası bir açıklama paylaştı.
Beaumont, BleepingComputer'a Rackspace'in Proxynotshell güvenlik açığına karşı savunmasız bir Microsoft Exchange sunucusu çalıştırdığını söyledi.
Proxynotshell, Microsoft Exchange sunucularına web mermileri kurmak için Eylül 2022'de aktif olarak kullanıldığı keşfedilen sıfır günlük bir güvenlik açığıydı.
Microsoft, Salı günkü güncellemelerinin bir parçası olarak Kasım ayında güvenlik açığını düzeltti.
Ancak Beaumont, Shodan aracılığıyla Rackspace'in sunucularından biri olan 'mex06.emailsrvr.com'un' Microsoft Exchange Build'ı 15.0.1497.40'ı Ağustos yama seviyesiyle ilişkilendirdiğini keşfetti.
Beaumont, güvenlik olayı hakkındaki bir yazıda, "Bu değişim yapı numarası, Proxynotshell yamaları kullanılabilir hale gelmeden önce Ağustos 2022'den itibaren."
Beaumont, uzun yapı sayıları her zaman güvenilir olmasa da, Rackspace'in güvenlik olayından böyle acı çekebileceğini söylüyor.
BleepingComputer, güvenlik olayı hakkında sorularla Rackspace'e ulaştı, ancak henüz duymadı.
GÜNCELLEME 03 Aralık 08:31 EST: Rackspace'den sonraki makaleyi ve başlığı gözden geçirdi. Devam eden kesintisini bir güvenlik olayına bağladı.
Cyberattack'tan sonra Stutage tarafından vurulan toptan dev metro
Royal Mail Down: Kesinti 24 saati aştıkça kullanılamayan izleme
Akçaağaç Yaprak Yiyecekleri Hafta Sonu Siber Attack Sonrası Kesin
Instagram, kullanıcı süspansiyon akışını takiben kesinti onaylıyor
Alma Gözlemevi, bir siber saldırı nedeniyle operasyonları kapatır
Kaynak: Bleeping Computer