Облачный хостинг-провайдер Rackspace пострадал от утечки данных, в результате которой были раскрыты «ограниченные» клиентские данные. Злоумышленники скомпрометировали Rackspace через уязвимость нулевого дня в стороннем инструменте платформы ScienceLogic SL1.

ScienceLogic SL1 представляет собой платформу для мониторинга, анализа и автоматизации инфраструктуры организаций, включая облака, сети и приложения. Она позволяет осуществлять мониторинг в режиме реального времени, соотносить события и автоматизировать рабочие процессы для более эффективного управления и оптимизации ИТ-сред.

Компания Rackspace, предоставляющая услуги управляемых облачных вычислений (хостинг, хранение данных, ИТ-поддержка), использует ScienceLogic SL1 для мониторинга своей ИТ-инфраструктуры и сервисов.

Представители ScienceLogic подтвердили изданию Bleeping Computer, что оперативно выпустили патч для устранения этой проблемы и распространили его среди всех пострадавших клиентов.

«Мы выявили 0-day уязвимость удаленного выполнения кода в сторонней утилите, не относящейся к ScienceLogic, которая поставляется вместе с пакетом SL1, — пояснила изданию Джессика Линдберг (Jessica Lindberg), вице-президент ScienceLogic. — После ее обнаружения мы быстро разработали патч для устранения проблемы и сделали его доступным для клиентов по всему миру».

При этом в ScienceLogic отказалась сообщить название проблемной сторонней утилиты, чтобы не давать подсказок злоумышленникам, которые могут попытаться использовать ее в своих атаках.

Впервые об атаке на Rackspace сообщили в социальной сети X на прошлой неделе. Пользователь под ником ynezz предупредил о сбоях в работе Rackspace, вызванных активной эксплуатацией в бага в ScienceLogic SL1 (ранее ScienceLogic EM7). Он писал, что атакующие получили доступ к трем внутренним веб-серверам мониторинга Rackspace.

В ответ на обнаружение вредоносной активности команда Rackspace отключила мониторинг на портале MyRack вплоть до выхода патча. При этом издание The Register сообщило, что SL1 компании Rackspace взломан с помощью уязвимости нулевого дня, а данные клиентов украдены.

В электронном письме для клиентов, которое попало в распоряжение редакции The Register, представители Rackspace писали, что хакеры похитили ограниченные клиентские данные мониторинга, включая имена и номера учетных записей клиентов, имена пользователей, внутренние ID устройств, имена и информацию об устройствах, IP-адреса и зашифрованные AES256 учетные данные агентов внутренних устройств.

В качестве меры предосторожности в Rackspace приняли решение сменить эти учетные данные, несмотря на то, что те были зашифрованы, и сообщили клиентам, что им не нужно предпринимать никаких дополнительных действий.

В беседе с изданием Bleeping Computer представители Rackspace еще раз подчеркнули, что RCE-уязвимость была обнаружена не в продуктах Rackspace, а в составе ScienceLogic SL1, и в настоящее время проблема уже устранена.

«Система Rackspace, к которой был получен неправомерный доступ в результате эксплуатации уязвимости в SL1, представляет собой систему для создания внутренних отчетов о производительности. В результате проведенного нами расследования не было выявлено никаких попыток доступа к настройкам клиентов или их данным, — заверили в компании. — Единственным последствием для клиентов стало отсутствие доступа к связанной с ScienceLogic панели мониторинга, которая является дополнительной функцией сервиса, редко используемой некоторыми нашими пользователями».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии