Şu yazıyı okuyorsunuz: Güvenlik Olayı Nedeniyle Rackspace Barındırılan Exchange Kesintisi
Rackspace tarafından barındırılan Exchange, 2 Aralık 2022’den itibaren büyük bir kesinti yaşadı ve 4 Aralık sabah 12:37 itibarıyla hala devam ediyor. Başlangıçta bağlantı ve oturum açma sorunları olarak tanımlanan kılavuz, sonunda bir güvenlik olayıyla karşı karşıya olduklarını duyurmak üzere güncellendi.
Rackspace Barındırılan Exchange Sorunları
Rackspace’in sistemi 2 Aralık 2022 sabahın erken saatlerinde çöktü. Başlangıçta Rackspace sorunun ne olduğunu söylemedi, sorunun ne zaman çözüleceğine dair bir ETA bir yana.
Twitter’daki müşteriler Rackspace’in destek e-postalarına yanıt vermediğini bildirdi.
Bu oldukça güzel bir gündü #Rackspace. Barındırılan değişim istemcilerinin her biri yaklaşık 14 saattir kapalıdır. Destek destek talepleri okumuyor/cevap vermiyor. Güncellemeler işe yaramaz.
Şimdi onların ProxyNotShell PoC hack’i gibi kötü bir şeyin kurbanı olabileceğinden endişeleniyorum. https://t.co/jchKsAO3Z7
— Joe Sinkwitz (@CygnusSEO) 2 Aralık 2022
Bir Rackspace müşterisi, deneyimlerini paylaşmak için Cuma günü bana sosyal medyada özel bir mesaj gönderdi:
“Son 16 saat içinde barındırılan tüm Exchange istemcileri.
Kaç şirket olduğundan emin değilim ama önemli.
554 uzun gecikmeli geri dönüş sağlıyorlar, böylece e-posta gönderen kişiler geri dönüşü birkaç saat boyunca fark etmiyorlar.”
Rackspace’in resmi durum sayfası kesintiyle ilgili devam eden bir güncelleme sundu ancak ilk gönderilerde kesinti ve araştırılmakta olduğu dışında hiçbir bilgi yoktu.
İlk resmi güncelleme 2 Aralık sabahı 2:49’du:
“Barındırılan Exchange ortamlarımızı etkileyen bir sorunu araştırıyoruz. Daha fazla ayrıntı mevcut oldukça yayınlanacaktır.”
On üç dakika sonra Rackspace bunu “bağlantı sorunu” olarak adlandırmaya başladı.
“Exchange ortamlarımızla ilgili bağlantı sorunlarına ilişkin raporları araştırıyoruz.
Kullanıcılar Outlook Web App’e (Webmail) erişirken ve e-posta istemcilerini senkronize ederken bir hatayla karşılaşabilirler.”
Sabah 6:36’da, Rackspace güncellemeleri mevcut sorunu “bağlantı ve oturum açma sorunları” olarak tanımladı ve öğleden sonra saat 13:54’te bu durum ortaya çıktı. hatalı.
VE hala onu arıyorlardı O öğleden sonra saat 16:51’de Cloud Office ortamlarında “bağlantı ve oturum açma sorunları”.
Rackspace, Microsoft 365’e geçmeyi öneriyor
Dört saat sonra Rackspace, durumu “önemli bir kesinti” olarak nitelendirdi ve sorunu anlayana ve sistemi tekrar çalışır duruma getirene kadar müşterilerine Microsoft 365’te ücretsiz Microsoft Exchange Plan 1 lisanslarını geçici bir çözüm olarak sunmaya başladı.
Resmi rehber şunları söyledi:
“Barındırılan Exchange ortamımızda önemli bir kesinti yaşadık. Hizmeti geri yüklemek için çalışmaya devam ederken başka sorunları önlemek için proaktif olarak ortamı kapatıyoruz. Sorunun temel nedeni üzerinde çalışmaya devam ederken, e-posta gönderip alma yeteneğinizi yeniden etkinleştirecek bir geçici çözümümüz var.
Size hiçbir ücret ödemeden, bir sonraki duyuruya kadar Microsoft 365’teki Microsoft Exchange Plan 1 lisanslarına erişmenizi sağlayacağız.”
Rackspace Barındırılan Exchange Güvenliği Olayı
Rackspace, neredeyse 24 saat sonra, 3 Aralık sabah saat 1:57’de, barındırılan Exchange hizmetinin bir güvenlik olayı yaşadığını resmen duyurdu.
Duyuru ayrıca Rackspace teknisyenlerinin Exchange ortamını kapattığını ve çevrimdışına aldığını ortaya çıkardı.
Rackspace şunu paylaştı:
“Daha ayrıntılı analizlerden sonra bunun bir güvenlik olayı olduğunu belirledik.
Bilinen etki, Barındırılan Exchange platformumuzun bir bölümünde izole edilmiştir. “Çevremizi değerlendirmek ve korumak için gerekli adımları atıyoruz.”
O öğleden sonra on iki saat sonra durum sayfasını, güvenlik ekibinin ve dışarıdan uzmanların kesintiyi çözmek için hâlâ çalıştığına dair daha fazla bilgiyle güncellediler.
Rackspace hizmeti bir güvenlik açığından etkilendi mi?
Rackspace güvenlik olayının ayrıntılarını yayınlamadı.
Bir güvenlik olayı genellikle bir güvenlik açığı içerir ve şu anda devam eden ve Kasım 2022’de düzeltilen iki ciddi güvenlik açığı vardır.
Bunlar en güncel iki güvenlik açığıdır:
- CVE-2022-41040Microsoft Exchange Server Sunucu Tarafı İstek Sahteciliği (SSRF) Güvenlik AçığıSunucu tarafı istek sahteciliği (SSRF) saldırısı, bir bilgisayar korsanının sunucudaki verileri okumasına ve değiştirmesine olanak tanır.
- CVE-2022-41082Microsoft Exchange Sunucusunda Uzaktan Kod Yürütme Güvenlik AçığıUzaktan kod yürütme güvenlik açığı, bir saldırganın sunucuda kötü amaçlı kod çalıştırabileceği bir güvenlik açığıdır.
A Ekim 2022’de yayınlanan bildirim güvenlik açıklarının etkisini açıkladı:
“Kimliği doğrulanmış uzak bir saldırgan, ayrıcalıkları yükseltmek ve savunmasız Microsoft Exchange sunucularında rastgele PowerShell kodu yürütmek için SSRF saldırıları gerçekleştirebilir.
Saldırı Microsoft Exchange Posta Kutusu sunucusuna yönelik olduğundan, saldırgan Exchange ve Active Directory ortamlarına yanal hareket yoluyla potansiyel olarak diğer kaynaklara erişim sağlayabilir.”
Rackspace’in kesinti güncellemeleri spesifik sorunun ne olduğunu belirtmedi, yalnızca bunun bir güvenlik olayı olduğunu gösterdi.
4 Aralık’taki en son durum güncelleştirmesi, hizmetin hâlâ kapalı olduğunu ve müşterilerin Microsoft 365 hizmetine geçmelerinin teşvik edildiğini belirtti.
raf alanı aşağıdakileri yayınladı 4 Aralık 2022 00:37:
“Olayı ele alma konusunda ilerleme kaydetmeye devam ediyoruz. Hizmetinizin kullanılabilirliği ve verilerinizin güvenliği büyük önem taşımaktadır.
“Müşteriler üzerindeki olumsuz etkileri en aza indirme çabalarımıza kapsamlı iç kaynaklar ayırdık ve birinci sınıf dış uzmanlığı işe aldık.”
Yukarıda belirtilen güvenlik açıkları, Rackspace Hosted Exchange hizmetini etkileyen güvenlik olayıyla ilgili olabilir.
Müşteri bilgilerinin ele geçirilip geçirilmediği konusunda herhangi bir açıklama yapılmadı. Bu etkinlik halen devam etmektedir.
