El Exchange alojado en Rackspace sufrió una interrupción catastrófica a partir del 2 de diciembre de 2022 y aún continúa a las 00:37 del 4 de diciembre. Inicialmente descrito como problemas de conectividad e inicio de sesión, la guía finalmente se actualizó para anunciar que estaban lidiando con un incidente de seguridad.
Problemas de intercambio alojado de Rackspace
El sistema de Rackspace dejó de funcionar en las primeras horas de la mañana del 2 de diciembre de 2022. Inicialmente, Rackspace no dijo cuál era el problema, y mucho menos una ETA de cuándo se resolvería.
Los clientes en Twitter informaron que Rackspace no respondía a los correos electrónicos de soporte.
Este ha sido todo un día con #Rackspace. Cada cliente de intercambio alojado ha estado inactivo durante aproximadamente 14 horas. El soporte no está leyendo/respondiendo a los tickets. Las actualizaciones no son útiles.
Ahora me preocupa que hayan sido víctimas de algo malo como el hack ProxyNotShell PoC. https://t.co/jchKsAO3Z7
— Joe Sinkwitz (@CygnusSEO) 2 de diciembre de 2022
Un cliente de Rackspace me envió un mensaje privado a través de las redes sociales el viernes para contarme su experiencia:
“Todos los clientes de Exchange alojados en las últimas 16 horas.
No estoy seguro de cuántas empresas son, pero es significativo.
Están entregando un rebote de retraso prolongado 554, por lo que las personas que envían correos electrónicos no se dan cuenta del rebote durante varias horas”.
La página de estado oficial de Rackspace ofreció una actualización continua de la interrupción, pero las publicaciones iniciales no tenían más información que una interrupción y que estaba siendo investigada.
La primera actualización oficial fue el 2 de diciembre a las 2:49 AM:
“Estamos investigando un problema que está afectando a nuestros entornos de Hosted Exchange. Más detalles serán publicados a medida que estén disponibles.”
Trece minutos después, Rackspace comenzó a llamarlo un “problema de conectividad”.
“Estamos investigando informes de problemas de conectividad con nuestros entornos de Exchange.
Los usuarios pueden experimentar un error al acceder a Outlook Web App (Webmail) y sincronizar sus clientes de correo electrónico”.
A las 6:36 a. m., las actualizaciones de Rackspace describieron el problema actual como “problemas de conectividad e inicio de sesión” y, más tarde esa tarde, a la 1:54 p. equivocado.
Y todavía lo llamaban “problemas de conectividad y de inicio de sesión” en sus entornos de Cloud Office a las 4:51 p. m. de esa tarde.
Rackspace recomienda migrar a Microsoft 365
Cuatro horas más tarde, Rackspace se refirió a la situación como una “falla significativa” y comenzó a ofrecer a sus clientes licencias gratuitas de Microsoft Exchange Plan 1 en Microsoft 365 como solución alternativa hasta que comprendieran el problema y pudieran volver a poner el sistema en línea.
La guía oficial decía:
“Experimentamos una falla significativa en nuestro entorno de Hosted Exchange. Apagamos el entorno de manera proactiva para evitar más problemas mientras continuamos trabajando para restaurar el servicio. A medida que continuamos trabajando en la causa raíz del problema, tenemos una solución alternativa que reactivará su capacidad para enviar y recibir correos electrónicos.
Sin costo alguno para usted, le proporcionaremos acceso a las licencias del Plan 1 de Microsoft Exchange en Microsoft 365 hasta nuevo aviso”.
Incidente de seguridad de Rackspace Hosted Exchange
No fue hasta casi 24 horas después, a la 1:57 a. m. del 3 de diciembre, que Rackspace anunció oficialmente que su servicio Exchange alojado estaba sufriendo un incidente de seguridad.
El anuncio reveló además que los técnicos de Rackspace habían apagado y desconectado el entorno de Exchange.
Rackspace publicó:
“Después de un análisis más detallado, hemos determinado que se trata de un incidente de seguridad.
El impacto conocido está aislado en una parte de nuestra plataforma Hosted Exchange. Estamos tomando las medidas necesarias para evaluar y proteger nuestros entornos”.
Doce horas más tarde esa tarde, actualizaron la página de estado con más información de que su equipo de seguridad y expertos externos todavía estaban trabajando para resolver la interrupción.
¿El servicio de Rackspace se vio afectado por una vulnerabilidad?
Rackspace no ha publicado detalles del evento de seguridad.
Un evento de seguridad generalmente implica una vulnerabilidad y hay dos vulnerabilidades graves actualmente en curso que se corrigieron en noviembre de 2022.
Estas son las dos vulnerabilidades más actuales:
- CVE-2022-41040
Vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) de Microsoft Exchange Server
Un ataque de falsificación de solicitud del lado del servidor (SSRF) permite a un pirata informático leer y cambiar datos en el servidor. - CVE-2022-41082
Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server
Una vulnerabilidad de ejecución remota de código es aquella en la que un atacante puede ejecutar código malicioso en un servidor.
Un aviso publicado en octubre de 2022 describió el impacto de las vulnerabilidades:
“Un atacante remoto autenticado puede realizar ataques SSRF para escalar privilegios y ejecutar código arbitrario de PowerShell en servidores vulnerables de Microsoft Exchange.
Como el ataque está dirigido contra el servidor de buzones de correo de Microsoft Exchange, el atacante puede potencialmente obtener acceso a otros recursos a través del movimiento lateral a los entornos de Exchange y Active Directory”.
Las actualizaciones de la interrupción de Rackspace no han indicado cuál fue el problema específico, solo que fue un incidente de seguridad.
La actualización de estado más reciente del 4 de diciembre indicó que el servicio aún está inactivo y se alienta a los clientes a migrar al servicio Microsoft 365.
Rackspace publicó lo siguiente el 4 de diciembre de 2022 a las 12:37 a. m.:
“Seguimos avanzando en el abordaje del incidente. La disponibilidad de su servicio y la seguridad de sus datos es de gran importancia.
Hemos comprometido amplios recursos internos y hemos contratado experiencia externa de clase mundial en nuestros esfuerzos por minimizar los impactos negativos para los clientes”.
Es posible que las vulnerabilidades mencionadas anteriormente estén relacionadas con el incidente de seguridad que afecta el servicio Rackspace Hosted Exchange.
No ha habido ningún anuncio de si la información del cliente se ha visto comprometida. Este evento aún está en curso.
Imagen destacada de Shutterstock/Orn Rin
Con información de Search Engine Journal.
Leer la nota Completa > Interrupción de Rackspace Hosted Exchange debido a un incidente de seguridad