Ο πάροχος φιλοξενίας Cloud Rackspace υπέστη παραβίαση δεδομένων εκθέτοντας “περιορισμένα” δεδομένα παρακολούθησης πελατών, αφού οι φορείς απειλών εκμεταλλεύτηκαν μια ευπάθεια zero-day σε ένα εργαλείο τρίτων που χρησιμοποιείται από την πλατφόρμα ScienceLogic SL1.
Η ScienceLogic επιβεβαίωσε στο BleepingComputer ότι ανέπτυξε γρήγορα μια ενημερωμένη έκδοση κώδικα για την αντιμετώπιση του κινδύνου και τη διένειμε σε όλους τους επηρεαζόμενους πελάτες, παρέχοντας παράλληλα βοήθεια όπου χρειάζεται.
“Εντοπίσαμε μια ευπάθεια μηδενικής ημέρας εκτέλεσης απομακρυσμένου κώδικα σε ένα βοηθητικό πρόγραμμα τρίτων που δεν είναι ScienceLogic που παρέχεται με το πακέτο SL1″, εξήγησε μια δήλωση από την Jessica Lindberg, Αντιπρόεδρο της ScienceLogic.
«Μετά την ταυτοποίηση, αναπτύξαμε γρήγορα ένα έμπλαστρο για την αποκατάσταση του περιστατικού και το έχουμε καταστήσει διαθέσιμο σε όλους τους πελάτες παγκοσμίως».
Η ScienceLogic αρνήθηκε να κατονομάσει το βοηθητικό πρόγραμμα τρίτων για να αποφύγει την παροχή υποδείξεων σε άλλους χάκερ, καθώς μπορεί να χρησιμοποιηθεί σε πολλά άλλα προϊόντα.
Η επίθεση αποκαλύφθηκε για πρώτη φορά από τον α χρήστης στο Χ ο οποίος προειδοποίησε ότι μια διακοπή του Rackspace από τις 24 Σεπτεμβρίου οφειλόταν σε ενεργή εκμετάλλευση στο ScienceLogic EM7 του παρόχου φιλοξενίας.
“Oopsie, μια ευπάθεια μηδενικής ημέρας απομακρυσμένης εκτέλεσης κώδικα αξιοποιήθηκε … εφαρμογή ScienceLogic τρίτου μέρους που χρησιμοποιείται από το Rackspace”, ένας λογαριασμός με το όνομα ynezz κοινοποιήθηκε στο X.
“Επιβεβαιώσαμε ότι η εκμετάλλευση αυτής της εφαρμογής τρίτων οδήγησε σε πρόσβαση σε τρεις εσωτερικούς διακομιστές ιστού παρακολούθησης Rackspace.”
ScienceLogic SL1 (πρώην ΕΜ7) είναι μια πλατφόρμα λειτουργιών πληροφορικής για την παρακολούθηση, την ανάλυση και την αυτοματοποίηση της υποδομής ενός οργανισμού, συμπεριλαμβανομένων του cloud, των δικτύων και των εφαρμογών.
Παρέχει ορατότητα σε πραγματικό χρόνο, συσχέτιση συμβάντων και αυτοματοποιημένες ροές εργασιών για τη διαχείριση και τη βελτιστοποίηση των περιβαλλόντων πληροφορικής αποτελεσματικά.
Η Rackspace, μια εταιρεία διαχείρισης υπολογιστικού νέφους (φιλοξενία, αποθήκευση, υποστήριξη πληροφορικής), χρησιμοποιεί το ScienceLogic SL1 για την παρακολούθηση της υποδομής και των υπηρεσιών πληροφορικής της.
Σε απάντηση στην ανακάλυψη της κακόβουλης δραστηριότητας, το Rackspace απενεργοποίησε τα γραφήματα παρακολούθησης στην πύλη MyRack μέχρι να μπορέσουν να προωθήσουν μια ενημέρωση για να αποκαταστήσουν τον κίνδυνο.
Ωστόσο, η κατάσταση ήταν χειρότερη από ό,τι λίγο Ενημέρωση κατάστασης υπηρεσίας Rackspace αντανακλάται.
Ως αναφέρθηκε για πρώτη φορά από το The Registerη λύση SL1 της Rackspace παραβιάστηκε μέσω του zero-day και ορισμένες πληροφορίες πελατών κλάπηκαν.
Σε ένα email που στάλθηκε στους πελάτες και το είδαν το The Register, το Rackspace προειδοποίησε ότι οι χάκερ εκμεταλλεύτηκαν το zero-day για να αποκτήσουν πρόσβαση σε διακομιστές ιστού και να κλέψουν περιορισμένα δεδομένα παρακολούθησης πελατών, συμπεριλαμβανομένων ονομάτων και αριθμών λογαριασμών πελατών, ονομάτων χρήστη πελατών, αναγνωριστικών συσκευών που δημιουργήθηκαν εσωτερικά στο Rackspace , όνομα και πληροφορίες συσκευής, διευθύνσεις IP και κρυπτογραφημένα AES256 διαπιστευτήρια εσωτερικού αντιπροσώπου συσκευής Rackspace.
Το Rackspace περιστράφηκε αυτά τα διαπιστευτήρια ως προληπτικό μέτρο, παρά το γεγονός ότι ήταν έντονα κρυπτογραφημένα, και ενημέρωσε τους πελάτες ότι δεν έπρεπε να λάβουν περαιτέρω μέτρα για την προστασία από την κακόβουλη δραστηριότητα, η οποία είχε διακοπεί.
Ενώ τα δεδομένα είναι περιορισμένα, είναι σύνηθες για τις εταιρείες να κρύβουν τις διευθύνσεις IP των συσκευών τους πίσω από συστήματα παράδοσης περιεχομένου και πλατφόρμες μετριασμού DDoS. Οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν τις εκτεθειμένες διευθύνσεις IP για να στοχεύσουν τις συσκευές της εταιρείας σε επιθέσεις DDoS ή περαιτέρω προσπάθειες εκμετάλλευσης.
Δεν είναι γνωστό πόσοι πελάτες έχουν επηρεαστεί από αυτήν την παραβίαση.
Η BleepingComputer επικοινώνησε με το RackSpace με περαιτέρω ερωτήσεις, αλλά δεν έλαβε απάντηση.
VIA: bleepingcomputer.com
