Bulut barındırma sağlayıcısı Rackspace, tehdit aktörleri Sciencelojic SL1 platformu tarafından kullanılan üçüncü taraf bir araçta sıfır gün güvenlik açığından yararlandıktan sonra "sınırlı" müşteri izleme verilerini ortaya çıkaran bir veri ihlali yaşadı.
Sciencelogic, BleepingComputer'a, riski ele almak için hızlı bir şekilde bir yama geliştirdiklerini ve gerektiğinde yardım sağlarken, etkilenen tüm müşterilere dağıttıklarını doğruladı.
Sciencelogic başkan yardımcısı Jessica Lindberg'den bir açıklama yaptığı açıklamada, "SL1 paketi ile iletilen bir sıfır günlük uzaktan kod yürütme güvenlik açığı belirledik."
"Kimlik üzerine, olayı düzeltmek için hızla bir yama geliştirdik ve bunu küresel olarak tüm müşteriler için kullanılabilir hale getirdik."
Sciencelogic, diğer hackerlere ipuçları sağlamaktan kaçınmak için üçüncü taraf yardımcı programını adlandırmayı reddetti, çünkü diğer bazı ürünlerde kullanılabileceği için.
Saldırı ilk olarak X üzerindeki bir kullanıcı tarafından 24 Eylül'den itibaren bir rackspace kesintisinin, barındırma sağlayıcının ScienCelojic EM7'sinde aktif sömürüden kaynaklandığı konusunda uyarıldı.
"Oopsie, sıfır gün uzaktan kod yürütme güvenlik açığı kullanıldı ... Rackspace tarafından kullanılan üçüncü taraf bilimselojik uygulama," YNZZ adında bir hesap X.
Diyerek şöyle devam etti: "Bu üçüncü taraf uygulamanın istismarının üç dahili rackspace izleme web sunucusuna erişim sağladığını doğruladık."
Sciencelogic SL1 (eski adıyla EM7), bir kuruluşun bulut, ağlar ve uygulamalar da dahil olmak üzere altyapısını izlemek, analiz etmek ve otomatikleştirmek için bir BT operasyon platformudur.
BT ortamlarını verimli bir şekilde yönetmeye ve optimize etmeye yardımcı olmak için gerçek zamanlı görünürlük, olay korelasyonu ve otomatik iş akışları sağlar.
Yönetilen bir bulut bilişim (barındırma, depolama, BT desteği) şirketi olan Rackspace, BT altyapısı ve hizmetlerini izlemek için ScienceLogic SL1'i kullanır.
Kötü niyetli aktivitenin keşfine yanıt olarak, Rackspace, riski gidermek için bir güncellemeyi zorlayana kadar Myrack portalındaki izleme grafiklerini devre dışı bıraktı.
Ancak, durum kısa bir rackspace hizmet durumu güncellemesinin yansıttığından daha kötüydü.
Kayıt tarafından ilk bildirildiği gibi, Rackspace'in SL1 çözümü sıfır gün aracılığıyla hacklendi ve bazı müşteri bilgileri çalındı.
Müşterilere gönderilen ve kayıt tarafından görülen bir e-postada Rackspace, bilgisayar korsanlarının Web sunucularına erişmek ve müşteri hesap adları ve numaraları, müşteri kullanıcı adları, Rackspace dahili olarak oluşturulan cihaz kimlikleri de dahil olmak üzere sınırlı müşteri izleme verilerini çalmak için sıfır gününü kullandığı konusunda uyardı. , Cihaz Adı ve Bilgileri, IP adresleri ve AES256 Şifreli Rackspace Dahili Aygıt Agent Kimlik Bilgileri.
Rackspace, güçlü bir şekilde şifrelenmelerine rağmen, bu kimlik bilgilerini önlem olarak döndürdü ve müşterilere durdurulan kötü niyetli etkinlikten korumak için başka bir işlem yapmaları gerekmediklerini bilgilendirdi.
Veriler sınırlı olmakla birlikte, şirketlerin cihazlarının IP adreslerini içerik dağıtım sistemlerinin ve DDOS azaltma platformlarının arkasına gizlemesi yaygındır. Tehdit aktörleri, maruz kalan IP adreslerini DDOS saldırılarında veya daha fazla sömürü girişimindeki şirketin cihazlarını hedeflemek için kullanabilir.
Bu ihlalden kaç müşterinin etkilendiği bilinmemektedir.
GÜNCELLEME 10/2 - Bir Rackspace sözcüsü, BleepingComputer'a aşağıdaki bilgileri gönderdi:
24 Eylül 2024'te Rackspace, üçüncü taraf ScienceLogic uygulaması (SL1 olarak bilinir) tarafından paketlenmiş ve teslim edilen bir Rackspace olmayan yardımcı programda sıfır gün uzaktan kumanda yürütme kırılganlığı keşfetti. Bu bir Rackspace güvenlik açığı değildi. Rackspace, bazı (ancak hepsi değil) Rackspace hizmetlerinin sistem izlemesini sağlamak için ScienceLogic uygulamasını dahili olarak kullanır.
SL1 güvenlik açığının sömürülmesinin bir sonucu olarak yanlış erişilen sistem, dahili performans raporlaması oluşturmak için kullanılan bir rackspace sistemidir ve Rackspace'in içidir. Adli araştırmamız müşteri yapılandırmalarına veya barındırılan verilerine erişim tespit edilmedi.
Rackspace, Sciencelojic'i kırılganlıklarını derhal bildirdi. Rackspace, savunmasızlıklarını düzeltmek için bir yamanın geliştirilmesini sağlamak için ScienceLogic ile çalıştı ve ScienCelogic şimdi tüm müşterileri için küresel olarak kullanılabilir hale getirdi.
Düşük güvenlikli duyarlılığa ilişkin sınırlı performans izleme bilgilerine uygunsuz bir şekilde erişildi. Dikkat bol miktarda, etkilenen tüm müşteriler bilgilendirildi. Müşterilerden iyileştirme aşaması gerekmez.
Rackspace’in izleme işlevselliği ScienceLogic panosuna bağlı değildir ve Rackspace müşteri performans izlememiz bu olaydan etkilenmemiştir. Müşterilerimiz için izleme ve uyarı hizmetlerimizin kesintisi yoktu.
Müşteriler için tek hizmet etkisi, bazı müşteriler tarafından nadiren kullanılan isteğe bağlı bir hizmet özelliği olan ilişkili ScienceLogic izleme kontrol panellerine erişememedir. - Rackspace sözcüsü
T-Mobile, 4 veri ihlali üzerinde 31,5 milyon dolarlık FCC ödemesini ödüyor
AutoCanada, Fidye Yazılımı Saldırısı "Mayıs" ı Etkileyen Çalışan Verilerini Diyor
ABD Hükümet Ajansı CMS, veri ihlalinin 3.1 milyon kişiyi etkilediğini söylüyor
Disney, büyük Temmuz veri ihlalinden sonra gevşeklik
Dell, Hacker Swees Çalışan Bilgisinden Sonra Veri İhlali Taleplerini Araştırıyor
Kaynak: Bleeping Computer