매니지드 클라우드 호스팅 서비스 회사인 Rackspace Technology는 2월 XNUMX일 수천 명의 중소기업 고객의 이메일 서비스를 중단시킨 대규모 랜섬웨어 공격이 서버측 요청 위조(SSRF) 취약점에 대한 제로데이 익스플로잇을 통해 발생했음을 확인했습니다. Microsoft Exchange Server, 일명 CVE-2022-41080.

"우리는 이제 이 사건의 근본 원인이 CVE-2022-41080과 관련된 제로데이 익스플로잇과 관련이 있다고 확신합니다."라고 Rackspace의 최고 보안 책임자인 Karen O'Reilly-Smith는 이메일 응답에서 Dark Reading에 말했습니다. "Microsoft는 CVE-2022-41080을 권한 에스컬레이션 취약점으로 공개했으며 악용 가능한 원격 코드 실행 체인의 일부라는 메모를 포함하지 않았습니다."

CVE-2022-41080은 Microsoft XNUMX월 패치. 

Rackspace의 외부 고문은 Dark Reading에 Rackspace가 ProxyNotShell 패치 적용을 미뤘다고 밝혔습니다. ProxyNotShell 패치로 인해 회사가 Exchange 서버를 다운시킬 수 있다고 우려하는 "인증 오류"가 발생했다는 보고가 있었습니다. Rackspace는 이전에 Microsoft가 공격을 저지하는 방법으로 간주한 취약점에 대한 Microsoft의 권장 완화 조치를 구현했습니다.

Rackspace는 위반 조사를 돕기 위해 CrowdStrike를 고용했으며, 보안 회사는 Play 랜섬웨어 그룹이 어떻게 활동했는지 자세히 설명하는 블로그 게시물에서 조사 결과를 공유했습니다. 새로운 기술을 사용 CVE-2022-41082을 사용하여 CVE-2022-41080로 알려진 다음 단계 ProxyNotShell RCE 결함을 트리거합니다. CrowdStrike의 게시물은 당시 Rackspace의 이름을 지정하지 않았지만 회사의 외부 고문은 Dark Reading에 Play의 완화 바이패스 방법에 대한 연구는 호스팅 서비스 공급자에 대한 공격에 대한 CrowdStrike의 조사 결과라고 말했습니다.

Microsoft는 지난달 Dark Reading에 이 공격이 이전에 발행된 ProxyNotShell 완화를 우회하지만 실제 패치 자체는 우회하지 않는다고 밝혔습니다. 

당신이 할 수 있다면 패치하는 것이 답이다. 서버. 당시 외부 고문은 "그들은 그들이 알고 있는 [위험]을 평가하고, 고려하고, 무게를 쟀다"고 말합니다. 회사는 서버가 다운된 상태이기 때문에 아직 패치를 적용하지 않았습니다. 

Rackspace 대변인은 Rackspace가 랜섬웨어 공격자에게 돈을 지불했는지 여부에 대해서는 언급하지 않았습니다.