Furnizorul de hosting în cloud Rackspace a suferit o încălcare a datelor care expunea datele de monitorizare a clienților ‘limitate’ după ce actorii de amenințare au exploatat o vulnerabilitate zero-day într-o unealtă terță folosită de platforma ScienceLogic SL1.
ScienceLogic a confirmat pentru BleepingComputer că au dezvoltat rapid un patch pentru a aborda riscul și l-au distribuit tuturor clienților afectați, oferind în continuare asistență acolo unde este necesar.
‘Am identificat o vulnerabilitate zero-day de execuție de cod la distanță într-o unealtă terță care nu este produsă de ScienceLogic și care este livrată împreună cu pachetul SL1,’ a explicat o declarație din partea Jessicăi Lindberg, Vicepreședinte la ScienceLogic.
‘Odată ce am identificat-o, am dezvoltat rapid un patch pentru a remedia incidentul și l-am pus la dispoziție tuturor clienților la nivel global.’
ScienceLogic a refuzat să divulge numele unei unelte terțe pentru a evita oferirea de indicii altor hackeri, deoarece aceasta ar putea fi folosită pe mai multe alte produse.
Atacul a fost dezvăluit inițial de un utilizator pe X care a avertizat că o întrerupere Rackspace din 24 septembrie a fost cauzată de o exploatare activă în cadrul ScienceLogic EM7 a furnizorului de hosting.
‘Oopsie, o vulnerabilitate zero-day de execuție de cod la distanță a fost exploatată … aplicația ScienceLogic terță folosită de Rackspace,’ a împărtășit un cont numit ynezz pe X.
‘Am confirmat că exploatarea acestei aplicații terțe a dus la accesul la trei servere web interne de monitorizare Rackspace.’
ScienceLogic SL1 (fostul EM7) este o platformă de operațiuni IT pentru monitorizarea, analizarea și automatizarea infrastructurii unei organizații, inclusiv a cloud-ului, rețelelor și aplicațiilor.
Oferea vizibilitate în timp real, corelare de evenimente și fluxuri de lucru automate pentru a ajuta la gestionarea și optimizarea mediilor IT eficient.
Rackspace, o companie de cloud computing gestionat (găzduire, stocare, suport IT), folosește ScienceLogic SL1 pentru a-și monitoriza infrastructura IT și serviciile.
În răspuns la descoperirea activității malitioase, Rackspace a dezactivat graficele de monitorizare pe portalul său MyRack până când au putut implementa o actualizare pentru a remedia riscul.
Cu toate acestea, situația a fost mai gravă decât a reflectat un scurt update de stare a serviciului Rackspace.
După cum a fost raportat inițial de The Register, soluția SL1 a Rackspace a fost hăcuită prin intermediul zero-day și au fost furate unele informații ale clienților.
Într-un e-mail trimis clienților și văzut de The Register, Rackspace a avertizat că hackerii au exploatat zero-day-ul pentru a obține acces la servere web și a fura date de monitorizare ‘limitate’ ale clienților, incluzând numele și numerele de cont ale clienților, numele de utilizator al clienților, ID-urile dispozitivelor generate intern de Rackspace, numele și informațiile dispozitivelor, adresele IP și acreditările agentului dispozitivului intern Rackspace criptate AES256.
Rackspace a rotit acele acreditări ca măsură de precauție, în ciuda faptului că erau puternic criptate, și le-a informat pe clienți că nu era nevoie să întreprindă alte acțiuni pentru a se proteja de activitatea malitioasă, care fusese oprită.
Deși datele sunt limitate, este obișnuit ca companiile să își ascundă adresele IP ale dispozitivelor în spatele sistemelor de livrare de conținut și platformelor de atenuare a atacurilor DDoS. Actorii de amenințare ar putea folosi adresele IP expuse pentru a viza dispozitivele companiei în atacuri DDoS sau alte încercări de exploatare ulterioare.
Nu se știe câți clienți au fost afectați de această breșă de securitate.
BleepingComputer a contactat RackSpace cu întrebări suplimentare, dar nu a primit un răspuns.
Leave a Reply