الأخبار التكنولوجية والاستعراضات والنصائح!

استضافت Rackspace انقطاع التبادل بسبب حادث أمني

ستساعدك المقالة التالية: استضافت Rackspace انقطاع التبادل بسبب حادث أمني

عانت Exchange المستضافة من Rackspace من انقطاع كارثي بدءًا من 2 ديسمبر 2022 ولا يزال مستمرًا حتى الساعة 12:37 صباحًا يوم 4 ديسمبر. تم وصفه في البداية على أنه مشكلات في الاتصال وتسجيل الدخول، وتم تحديث التوجيه في النهاية للإعلان عن أنهم يتعاملون مع حادث أمني.

مشكلات التبادل المستضافة في Rackspace

تعطل نظام Rackspace في ساعات الصباح الباكر من يوم 2 ديسمبر 2022. في البداية لم تكن هناك أي معلومات من Rackspace حول طبيعة المشكلة، ناهيك عن الموعد المتوقع لحلها.

العملاء على Twitter ذكرت أن Rackspace لم يكن يستجيب لرسائل البريد الإلكتروني الخاصة بالدعم.

لقد كان هذا اليوم تماما مع #مساحة الرف. لقد تعطل كل عميل تبادل مستضاف لمدة 14 ساعة أو نحو ذلك. الدعم لا يقرأ/يستجيب للتذاكر. التحديثات غير مفيدة

أشعر بالقلق الآن لأنهم وقعوا ضحية لشيء سيئ مثل اختراق ProxyNotShell PoC. https://t.co/jchKsAO3Z7

– جو سينكويتز (@CygnusSEO) 2 ديسمبر 2022

أرسل لي أحد عملاء Rackspace رسالة خاصة عبر وسائل التواصل الاجتماعي يوم الجمعة لربط تجربته:

“لقد تعطل جميع عملاء Exchange المستضافين خلال الـ 16 ساعة الماضية.

لست متأكدا من عدد الشركات، لكنه مهم.

إنهم يقدمون ارتدادًا تأخيرًا طويلًا يبلغ 554، لذلك لا يكون الأشخاص الذين يرسلون بريدًا إلكترونيًا على علم بالارتداد لعدة ساعات.

عرضت صفحة حالة Rackspace الرسمية تحديثًا مستمرًا للانقطاع، لكن المنشورات الأولية لم تكن تحتوي على معلومات بخلاف حدوث انقطاع وتم التحقيق فيه.

الأول التحديث الرسمي كان في 2 ديسمبر الساعة 2:49 صباحًا:

“نحن نحقق في مشكلة تؤثر على بيئات Exchange المستضافة لدينا. سيتم نشر المزيد من التفاصيل حال توفرها.”

وبعد ثلاثة عشر دقيقة، بدأت شركة Rackspace في وصف الأمر بأنه “مشكلة اتصال”.

“نحن نحقق في التقارير المتعلقة بمشكلات الاتصال ببيئات Exchange الخاصة بنا.

قد يواجه المستخدمون خطأً عند الوصول إلى تطبيق Outlook Web App (بريد الويب) ومزامنة عميل (عملاء) البريد الإلكتروني الخاص بهم.

بحلول الساعة 6:36 صباحًا، وصفت تحديثات Rackspace المشكلة المستمرة بأنها “مشكلات في الاتصال وتسجيل الدخول”، ثم في وقت لاحق بعد ظهر ذلك اليوم في الساعة 1:54 مساءً، أعلن Rackspace أنهم ما زالوا في “مرحلة التحقيق” في انقطاع الخدمة، وما زالوا يحاولون معرفة ما حدث خطأ.

و كانوا لا يزالون يطلقون عليه “مشكلات الاتصال وتسجيل الدخول” في بيئات Cloud Office الخاصة بهم الساعة 4:51 مساءً بعد ظهر ذلك اليوم.

توصي شركة Rackspace بالانتقال إلى Microsoft 365

بعد أربع ساعات، أشارت شركة Rackspace إلى الموقف على أنه “فشل كبير” وبدأت في تقديم تراخيص Microsoft Exchange Plan 1 المجانية لعملائها على Microsoft 365 كحل بديل حتى يفهموا المشكلة ويتمكنوا من إعادة النظام إلى الإنترنت.

وجاء في التوجيه الرسمي:

“لقد واجهنا فشلًا كبيرًا في بيئة Hosted Exchange الخاصة بنا. لقد قمنا بإغلاق البيئة بشكل استباقي لتجنب أي مشكلات أخرى بينما نواصل العمل لاستعادة الخدمة. بينما نواصل العمل على حل السبب الجذري للمشكلة، لدينا حل بديل من شأنه إعادة تنشيط قدرتك على إرسال واستقبال رسائل البريد الإلكتروني.

دون أي تكلفة عليك، سنوفر لك إمكانية الوصول إلى تراخيص Microsoft Exchange (الخطة 1) على Microsoft 365 حتى إشعار آخر.

استضافة Rackspace لحادث أمان Exchange

لم يمر سوى 24 ساعة تقريبًا في تمام الساعة 1:57 صباحًا يوم 3 ديسمبر حيث أعلنت شركة Rackspace رسميًا أن خدمة Exchange المستضافة الخاصة بها كانت تعاني من حادث أمني.

وكشف الإعلان أيضًا أن فنيي Rackspace قاموا بإيقاف تشغيل بيئة Exchange وفصلها.

تم نشر Rackspace:

وأضاف: “بعد مزيد من التحليل، قررنا أن هذا حادث أمني.

يتم عزل التأثير المعروف إلى جزء من منصة Hosted Exchange الخاصة بنا. نحن نتخذ الإجراءات اللازمة لتقييم وحماية بيئتنا.

وبعد اثنتي عشرة ساعة من بعد ظهر ذلك اليوم، قاموا بتحديث صفحة الحالة بمزيد من المعلومات التي تفيد بأن فريقهم الأمني ​​والخبراء الخارجيين ما زالوا يعملون على حل الانقطاع.

هل تأثرت خدمة Rackspace بوجود ثغرة أمنية؟

لم تنشر Rackspace تفاصيل الحدث الأمني.

يتضمن الحدث الأمني ​​عمومًا ثغرة أمنية، وهناك ثغرتان أمنيتان خطيرتان حاليًا في العملية تم تصحيحهما في نوفمبر 2022.

هاتان هما أكثر نقاط الضعف الحالية:

  • CVE-2022-41040
    ثغرة أمنية في طلب تزوير طلب خادم Microsoft Exchange Server (SSRF).
    يسمح هجوم تزوير طلب جانب الخادم (SSRF) للمتسلل بقراءة البيانات الموجودة على الخادم وتغييرها.
  • CVE-2022-41082
    ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد لـ Microsoft Exchange Server
    الثغرة الأمنية لتنفيذ التعليمات البرمجية عن بعد هي إحدى الثغرة التي يتمكن فيها المهاجم من تشغيل تعليمات برمجية ضارة على الخادم.

ان تم نشر الاستشارة في أكتوبر 2022 وصف تأثير نقاط الضعف:

“يمكن للمهاجم البعيد المعتمد تنفيذ هجمات SSRF لتصعيد الامتيازات وتنفيذ تعليمات PowerShell العشوائية على خوادم Microsoft Exchange الضعيفة.

ونظرًا لأن الهجوم يستهدف خادم Microsoft Exchange Mailbox، فمن المحتمل أن يتمكن المهاجم من الوصول إلى موارد أخرى عبر الحركة الجانبية إلى بيئات Exchange وActive Directory.

لم تشر تحديثات انقطاع Rackspace إلى المشكلة المحددة، بل أشارت فقط إلى أنها كانت حادثًا أمنيًا.

ذكر آخر تحديث للحالة اعتبارًا من 4 ديسمبر أن الخدمة لا تزال معطلة ويتم تشجيع العملاء على الانتقال إلى خدمة Microsoft 365.

مساحة الرف نشر ما يلي في 4 ديسمبر 2022 الساعة 12:37 صباحًا:

“نحن نواصل إحراز تقدم في معالجة الحادث. إن توفر خدمتك وأمان بياناتك له أهمية كبيرة.

لقد خصصنا موارد داخلية واسعة النطاق والاستعانة بخبرات خارجية عالمية المستوى في جهودنا لتقليل التأثيرات السلبية على العملاء.

من الممكن أن تكون الثغرات الأمنية المذكورة أعلاه مرتبطة بالحادث الأمني ​​الذي يؤثر على خدمة Rackspace Hosted Exchange.

ولم يتم الإعلان عما إذا كانت معلومات العملاء قد تم اختراقها. هذا الحدث لا يزال مستمرا.