Rackspace ha subito un attacco ransomware all’inizio del mese scorso, durante il quale ha iniziato a registrare interruzioni nel suo servizio Hosted Exchange. Descrivendo per la prima volta il problema come un “incidente di sicurezza”, Rackspace ha confermato l’attacco ransomware il 6 dicembre. A seguito delle interruzioni, che sono tuttora in corso, il cloud provider ha deciso di migrare i clienti a Microsoft 365.
Secondo un post del 27 dicembre sulla pagina di Rackspace dedicata allo stato dei guasti di Hosted Exchange, l’azienda ha dichiarato che il processo di recupero dei dati delle e-mail stava “attualmente procedendo come previsto”.
Karen O’Reilly-Smith, CSO di Rackspace, ha dichiarato alla redazione di TechTarget, che l’attacco è stato il risultato di una vulnerabilità di elevazione dei privilegi in Microsoft Exchange Server, CVE-2022-41080, che è stata inizialmente divulgata e patchata a novembre.
“Sebbene siano state diffuse speculazioni sul fatto che la causa principale di questo incidente fosse il risultato dell’exploit ProxyNotShell, possiamo ora affermare definitivamente che ciò non è esatto. Siamo stati diligenti in questa indagine, dando priorità all’accuratezza e alla precisione in tutto ciò che diciamo e facciamo, perché per noi di Rackspace la credibilità è importante”, ha dichiarato O’Reilly-Smith nel comunicato.
“Siamo ora molto fiduciosi che la causa principale di questo caso riguardi un exploit zero-day associato a CVE-2022-41080″, prosegue la dichiarazione. Per ulteriori informazioni, consultare un recente blog di CrowdStrike”. Microsoft ha divulgato CVE-2022-41080 come vulnerabilità di escalation dei privilegi e non ha incluso note sulla possibilità di far parte di una catena di esecuzione di codice remoto sfruttabile”.
Il post sul blog di CrowdStrike riporta i dettagli di “OWASSRF”, una nuova tecnica di attacco che sfrutta la CVE-2022-41080 e che è stata utilizzata dalla banda del ransomware Play per compromettere i server Exchange nelle ultime settimane. Tuttavia, l’exploit OWASSRF utilizzava anche una delle falle zero-day di ProxyNotShell divulgate a settembre, la CVE-2022-41082.
Alla fine Microsoft ha corretto i due bug ProxyNotShell nell’ambito del Patch Tuesday di novembre, ma poiché al momento della divulgazione delle falle zero-day non era disponibile alcuna patch, Microsoft aveva precedentemente fornito istruzioni per la riscrittura degli URL per mitigare le falle. OWASSRF aggira le mitigazioni per ProxyNotShell.
Un consulente esterno di Rackspace, che ha voluto rimanere anonimo, ha confermato all’editoriale di TechTarget che gli attori del ransomware Play hanno utilizzato l’exploit OWASSRF nell’attacco. Il consulente ha dichiarato che Rackspace ha implementato mitigazioni per i bug ProxyNotShell, ma non ha applicato la patch CVE-2022-41082. Analogamente, l’azienda non aveva applicato la patch CVE-2022-41080 prima dell’attacco del 2 dicembre, a causa dei problemi di autenticazione segnalati dall’aggiornamento, che sono stati successivamente risolti.
Sebbene le patch di novembre proteggano da questa nuova catena di exploit, OWASSRF colpisce le organizzazioni che hanno mitigato le falle di ProxyNotShell a settembre senza applicare gli aggiornamenti di novembre. Secondo la Shadowserver Foundation, organizzazione non profit che si occupa di raccolta di dati sulla sicurezza informatica, circa 57.000 indirizzi IP includevano server Exchange ancora vulnerabili a CVE-2022-41082 alla data di martedì. O’Reilly-Smith ha dichiarato che Rackspace condividerà informazioni più dettagliate in un secondo momento “in modo che, collettivamente, tutti noi possiamo difenderci meglio da questo tipo di exploit in futuro”.
