Ο πάροχος φιλοξενίας Cloud Rackspace, υπέστη παραβίαση δεδομένων παρακολούθησης πελατών, αφού χάκρες εκμεταλλεύτηκαν μια ευπάθεια zero-day σε ένα εργαλείο τρίτων που χρησιμοποιείται από την πλατφόρμα ScienceLogic SL1.
Δείτε επίσης: Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day
Η ScienceLogic επιβεβαίωσε ότι ανέπτυξε άμεσα μια ενημέρωση κώδικα για την αντιμετώπιση του κινδύνου, παρέχοντας παράλληλα βοήθεια σε όσους πελάτες επηρεάστηκαν από την επίθεση.
Η επίθεση αποκαλύφθηκε για πρώτη φορά από έναν χρήστη στο X, ο οποίος προειδοποίησε ότι μια διακοπή του Rackspace από τις 24 Σεπτεμβρίου οφειλόταν σε ενεργή εκμετάλλευση ενός zero-day της πλατφρόμας ScienceLogic EM7.
Ανακαλύπτοντας τον Παράξενο Γαλαξία του Πρώιμου Σύμπαντος
“Ένα θέμα ευπάθειας zero-day, που επιτέπει εκτέλεση απομακρυσμένου κώδικα έγινε αντικείμενο εκμετάλλευσης … η εφαρμογή ScienceLogic χρησιμοποιείται από τη Rackspace“, μοιράστηκε στο X ένας λογαριασμός με το όνομα ynezz.
Η ScienceLogic SL1 (πρώην EM7) είναι μια πλατφόρμα λειτουργιών πληροφορικής για την παρακολούθηση, την ανάλυση και την αυτοματοποίηση της υποδομής ενός οργανισμού, συμπεριλαμβανομένων του cloud, των δικτύων και των εφαρμογών. Παρέχει ορατότητα σε πραγματικό χρόνο, συσχέτιση συμβάντων και αυτοματοποιημένες ροές εργασιών για τη διαχείριση και τη βελτιστοποίηση των περιβαλλόντων πληροφορικής αποτελεσματικά.
Η Rackspace, μια εταιρεία διαχείρισης cloud computing (φιλοξενία, αποθήκευση, υποστήριξη πληροφορικής), χρησιμοποιεί την πλατφόρμα ScienceLogic SL1 για την παρακολούθηση της υποδομής και των υπηρεσιών πληροφορικής της.
Δείτε ακόμα: Η Adobe διορθώνει zero-day ευπάθεια στο Acrobat Reader (με PoC exploit)
Σε απάντηση στην ανακάλυψη της ευπάθειας zero-day, η Rackspace απενεργοποίησε τα γραφήματα παρακολούθησης στην πύλη MyRack μέχρι να μπορέσουν να προωθήσουν μια ενημέρωση για την αποκατάσταση του κινδύνου. Ωστόσο, η κατάσταση ήταν χειρότερη από ό,τι αντανακλούσε μια σύντομη ενημέρωση κατάστασης της υπηρεσίας Rackspace.
Οι επιθέσεις zero-day αποτελούν μία από τις πιο επικίνδυνες απειλές στον τομέα της ασφάλειας των πληροφοριών. Αναφέρονται στις επιθέσεις που εκμεταλλεύονται ευπάθειες λογισμικού, οι οποίες είναι άγνωστες στον προγραμματιστή του λογισμικού ή στον ευρύτερο κοινό, πριν γίνει διαθέσιμο κάποιο διορθωτικό ή αναβάθμιση για την αντιμετώπισή τους. Λόγω της απρόβλεπτης και κρυφής φύσης τους, οι επιθέσεις αυτές μπορούν να προκαλέσουν σοβαρές βλάβες σε συστήματα υπολογιστών, εκθέτοντας ευαίσθητα δεδομένα ή ακόμα και διακόπτοντας κρίσιμες υπηρεσίες.
Όπως αναφέρθηκε αρχικά από το The Register, η λύση SL1 της Rackspace υπήρξε θύμα παραβίασης μέσω ενός zero-day exploit, με αποτέλεσμα την κλοπή ορισμένων πληροφοριών πελατών. Σε ένα email που εστάλη στους πελάτες, η Rackspace προειδοποίησε ότι οι χάκερ εκμεταλλεύτηκαν το zero-day για να αποκτήσουν πρόσβαση σε διακομιστές ιστού και να κλέψουν περιορισμένα δεδομένα παρακολούθησης πελατών. Αυτά περιλάμβαναν ονόματα και αριθμούς λογαριασμών, ονόματα χρηστών, εσωτερικά δημιουργημένα αναγνωριστικά συσκευών, πληροφορίες για τις συσκευές, διευθύνσεις IP και κρυπτογραφημένα διαπιστευτήρια AES256 για εσωτερικούς αντιπροσώπους της Rackspace.
Δείτε επίσης: Η Microsoft επιδιορθώνει zero-day στο Windows Smart App Control
Ενώ τα δεδομένα είναι περιορισμένα, είναι σύνηθες για τις εταιρείες να κρύβουν τις διευθύνσεις IP των συσκευών τους πίσω από συστήματα παράδοσης περιεχομένου και πλατφόρμες μετριασμού DDoS. Οι κακόβουλοι παράγοντες θα μπορούσαν να χρησιμοποιήσουν τις εκτεθειμένες διευθύνσεις IP για να στοχεύσουν τις συσκευές της εταιρείας με επιθέσεις DDoS ή περαιτέρω προσπάθειες εκμετάλλευσης. Δεν είναι γνωστό πόσοι πελάτες έχουν επηρεαστεί από αυτήν την παραβίαση.
Πηγή: bleepingcomputer
