Облачный хостинг-провайдер Rackspace пострадал от утечки данных, в результате которой были раскрыты «ограниченные» клиентские данные. Злоумышленники скомпрометировали Rackspace через уязвимость нулевого дня в стороннем инструменте платформы ScienceLogic SL1.
ScienceLogic SL1 представляет собой платформу для мониторинга, анализа и автоматизации инфраструктуры организаций, включая облака, сети и приложения. Она позволяет осуществлять мониторинг в режиме реального времени, соотносить события и автоматизировать рабочие процессы для более эффективного управления и оптимизации ИТ-сред.
Компания Rackspace, предоставляющая услуги управляемых облачных вычислений (хостинг, хранение данных, ИТ-поддержка), использует ScienceLogic SL1 для мониторинга своей ИТ-инфраструктуры и сервисов.
Представители ScienceLogic подтвердили изданию Bleeping Computer, что оперативно выпустили патч для устранения этой проблемы и распространили его среди всех пострадавших клиентов.
«Мы выявили 0-day уязвимость удаленного выполнения кода в сторонней утилите, не относящейся к ScienceLogic, которая поставляется вместе с пакетом SL1, — пояснила изданию Джессика Линдберг (Jessica Lindberg), вице-президент ScienceLogic. — После ее обнаружения мы быстро разработали патч для устранения проблемы и сделали его доступным для клиентов по всему миру».
При этом в ScienceLogic отказалась сообщить название проблемной сторонней утилиты, чтобы не давать подсказок злоумышленникам, которые могут попытаться использовать ее в своих атаках.
Впервые об атаке на Rackspace сообщили в социальной сети X на прошлой неделе. Пользователь под ником ynezz предупредил о сбоях в работе Rackspace, вызванных активной эксплуатацией в бага в ScienceLogic SL1 (ранее ScienceLogic EM7). Он писал, что атакующие получили доступ к трем внутренним веб-серверам мониторинга Rackspace.
В ответ на обнаружение вредоносной активности команда Rackspace отключила мониторинг на портале MyRack вплоть до выхода патча. При этом издание The Register сообщило, что SL1 компании Rackspace взломан с помощью уязвимости нулевого дня, а данные клиентов украдены.
В электронном письме для клиентов, которое попало в распоряжение редакции The Register, представители Rackspace писали, что хакеры похитили ограниченные клиентские данные мониторинга, включая имена и номера учетных записей клиентов, имена пользователей, внутренние ID устройств, имена и информацию об устройствах, IP-адреса и зашифрованные AES256 учетные данные агентов внутренних устройств.
В качестве меры предосторожности в Rackspace приняли решение сменить эти учетные данные, несмотря на то, что те были зашифрованы, и сообщили клиентам, что им не нужно предпринимать никаких дополнительных действий.
В беседе с изданием Bleeping Computer представители Rackspace еще раз подчеркнули, что RCE-уязвимость была обнаружена не в продуктах Rackspace, а в составе ScienceLogic SL1, и в настоящее время проблема уже устранена.
«Система Rackspace, к которой был получен неправомерный доступ в результате эксплуатации уязвимости в SL1, представляет собой систему для создания внутренних отчетов о производительности. В результате проведенного нами расследования не было выявлено никаких попыток доступа к настройкам клиентов или их данным, — заверили в компании. — Единственным последствием для клиентов стало отсутствие доступа к связанной с ScienceLogic панели мониторинга, которая является дополнительной функцией сервиса, редко используемой некоторыми нашими пользователями».