Exchange gehost op Rackspace ondervond een catastrofale storing op 2 december 2022 en is nog steeds aan de gang vanaf 00:37 uur op 4 december. Aanvankelijk beschreven als connectiviteits- en inlogproblemen, werd de gids uiteindelijk bijgewerkt om aan te kondigen dat ze te maken hadden met een beveiligingsincident.
Rackspace Hosted Exchange-problemen
Het systeem van Rackspace viel in de vroege ochtenduren van 2 december 2022 uit. Aanvankelijk wist Rackspace niet wat het probleem was, laat staan een ETA over wanneer het zou zijn opgelost.
Klanten op Twitter meldden dat Rackspace niet reageerde op ondersteunings-e-mails.
Dit is een hele dag geweest met #Rackspace. Elke gehoste Exchange-client is ongeveer 14 uur inactief geweest. Support leest/reageert niet op tickets. Updates zijn niet nuttig.
Nu ben ik bang dat ze het slachtoffer zijn geworden van iets ergs, zoals de ProxyNotShell PoC-hack. https://t.co/jchKsAO3Z7
— Joe Sinkwitz (@CygnusSEO) 2 december 2022
Een klant van Rackspace stuurde me vrijdag een privébericht op sociale media om zijn ervaring toe te lichten:
“Alle gehoste Exchange-clients zijn de afgelopen 16 uur uitgevallen.
Ik weet niet hoeveel bedrijven er zijn, maar het is belangrijk.
Ze bieden een 554-lange delay bounce aan, dus e-mailers merken de bounce enkele uren niet op.”
De officiële statuspagina van Rackspace gaf een werkende update over de storing, maar de eerste berichten bevatten geen andere informatie dan dat er een storing was en dat deze werd onderzocht.
De eerste officiële update was op 2 december om 02:49 uur:
“We onderzoeken een probleem dat onze Hosted Exchange-omgevingen beïnvloedt. Meer details zullen worden vrijgegeven zodra deze beschikbaar zijn.”
Dertien minuten later begon Rackspace het een “connectiviteitsprobleem” te noemen.
“We onderzoeken meldingen van verbindingsproblemen in onze Exchange-omgevingen.
Gebruikers kunnen een fout ervaren bij het openen van Outlook Web App (Webmail) en het synchroniseren van hun e-mailclients.”
Om 06:36 beschreef Rackspace-updates het aanhoudende probleem als “verbindings- en inlogproblemen”, en later die middag om 13:54 kondigde Rackspace aan dat ze zich nog steeds in de “onderzoeksfase” van de storing bevonden, nog steeds aan het uitzoeken wat er is gebeurd. slechte
En ze noemden het die middag om 16:51 nog steeds “connectiviteits- en inlogproblemen” in hun Cloud Office-omgevingen.
Rackspace raadt aan om te migreren naar Microsoft 365
Vier uur later noemde Rackspace de situatie een “grote fout” en begon het zijn klanten gratis Microsoft Exchange Plan 1-licenties in Microsoft 365 aan te bieden als tijdelijke oplossing totdat ze het probleem begrepen en terug konden komen om het systeem aan te sluiten.
De officiële gids zei:
“We hebben een grote storing ervaren in onze Hosted Exchange-omgeving. We sluiten de omgeving proactief af om verdere problemen te voorkomen, terwijl we blijven werken om de service te herstellen. Terwijl we doorgaan met het oplossen van de hoofdoorzaak van het probleem, hebben we een tijdelijke oplossing dat zal uw vermogen om e-mails te verzenden en te ontvangen opnieuw activeren.
Zonder kosten voor u, zullen wij u tot nader order toegang geven tot Microsoft Exchange Plan 1-licenties in Microsoft 365.”
Door Rackspace gehost Exchange-beveiligingsincident
Pas bijna 24 uur later, om 01.57 uur op 3 december, kondigde Rackspace officieel aan dat zijn gehoste Exchange-service te maken had met een beveiligingsincident.
De aankondiging onthulde ook dat technici van Rackspace de Exchange-omgeving hadden afgesloten en losgekoppeld.
Rackspace gepubliceerd:
“Na verdere analyse hebben we vastgesteld dat dit een beveiligingsincident is.
De bekende impact is geïsoleerd voor een deel van ons Hosted Exchange-platform. We nemen de nodige maatregelen om ons milieu te beoordelen en te beschermen.”
Twaalf uur later die middag werkten ze de statuspagina bij met meer informatie dat hun beveiligingsteam en externe experts nog bezig waren om de storing op te lossen.
Is de Rackspace-service getroffen door een kwetsbaarheid?
Rackspace heeft geen details over de beveiligingsgebeurtenis vrijgegeven.
Een beveiligingsgebeurtenis gaat meestal gepaard met een kwetsbaarheid en er zijn momenteel twee kritieke kwetsbaarheden in de gadget die in november 2022 zijn gepatcht.
Dit zijn de twee meest actuele kwetsbaarheden:
CVE-2022-41040
Microsoft Exchange Server Server-Side Request Forgery (SSRF) beveiligingslek.
Een server-side request forgery (SSRF)-aanval stelt een hacker in staat servergegevens te lezen en te wijzigen. CVE-2022-41082
Microsoft Exchange Server Beveiligingslek met betrekking tot uitvoering van externe code
Een beveiligingslek met betrekking tot het uitvoeren van externe code is een beveiligingslek waarbij een aanvaller schadelijke code op een server kan uitvoeren.
Een in oktober 2022 gepubliceerd advies beschreef de impact van de kwetsbaarheden:
“Een geverifieerde externe aanvaller kan SSRF-aanvallen uitvoeren om privileges te verhogen en willekeurige PowerShell-code uit te voeren op kwetsbare Microsoft Exchange-servers.
Omdat de aanval gericht is op de Microsoft Exchange-mailboxserver, kan de aanvaller toegang krijgen tot andere bronnen via laterale verplaatsing in de Exchange- en Active Directory-omgevingen.”
Storingsupdates van Rackspace gaven niet aan wat het specifieke probleem was, alleen dat het om een beveiligingsincident ging.
In de meest recente statusupdate van 4 december stond dat de service nog steeds niet beschikbaar is en klanten wordt geadviseerd om te migreren naar de Microsoft 365-service.
Rackspace plaatste het volgende op 4 december 2022 om 12:37 uur:
“We blijven vooruitgang boeken bij het aanpakken van het incident. De beschikbaarheid van uw dienst en de veiligheid van uw gegevens is van het grootste belang.
We hebben uitgebreide interne middelen en eersteklas externe expertise ingezet in onze inspanningen om de negatieve gevolgen voor klanten tot een minimum te beperken.”
De hierboven genoemde kwetsbaarheden kunnen verband houden met het beveiligingsincident dat van invloed is op de Rackspace Hosted Exchange-service.
Of er klantgegevens zijn gelekt, is niet bekend gemaakt. Dit evenement is nog gaande.
Uitgelichte afbeelding door Shutterstock/Orn Rin
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
