Ataque Zero-Day contra a ScienceLogic
2 de Outubro de 2024

O provedor de hospedagem em nuvem Rackspace sofreu uma violação de dados expondo "dados limitados" de monitoramento de clientes após atores de ameaças explorarem uma vulnerabilidade zero-day em uma ferramenta de terceiros utilizada pela plataforma ScienceLogic SL1.

A ScienceLogic confirmou que rapidamente desenvolveu um patch para abordar o risco e o distribuiu a todos os clientes impactados, ainda prestando assistência onde necessário.

"Identificamos uma vulnerabilidade de execução remota de código zero-day dentro de uma utilidade de terceiros não-ScienceLogic que é entregue com o pacote SL1," explicou uma declaração de Jessica Lindberg, Vice-Presidente na ScienceLogic.

Após a identificação, desenvolvemos rapidamente um patch para remediar o incidente e o disponibilizamos a todos os clientes globalmente.

A ScienceLogic se recusou a nomear a utilidade de terceiros para evitar dar dicas a outros hackers, já que poderia ser usada em vários outros produtos.

O ataque foi inicialmente divulgado por um usuário no X que alertou que uma interrupção da Rackspace em 24 de setembro foi devido à exploração ativa no ScienceLogic EM7 do provedor de hospedagem.

"Oopsie, uma vulnerabilidade de execução remota de código zero-day foi explorada...
aplicativo ScienceLogic de terceiros usado pela Rackspace," um conta chamada ynezz compartilhou no X.
"Confirmamos que a exploração deste aplicativo de terceiros resultou em acesso a três servidores web de monitoramento internos da Rackspace."

ScienceLogic SL1 (anteriormente EM7) é uma plataforma de operações de TI para monitoramento, análise e automação da infraestrutura de uma organização, incluindo nuvem, redes e aplicações.

Ele fornece visibilidade em tempo real, correlação de eventos e fluxos de trabalho automatizados para ajudar a gerenciar e otimizar ambientes de TI de forma eficiente.

Rackspace, uma empresa de computação em nuvem gerenciada (hospedagem, armazenamento, suporte de TI), usa o ScienceLogic SL1 para monitorar sua infraestrutura e serviços de TI.

Em resposta à descoberta da atividade maliciosa, a Rackspace desativou gráficos de monitoramento em seu portal MyRack até que pudessem implementar uma atualização para remediar o risco.

Entretanto, a situação era pior do que o refletido em uma breve atualização de status de serviço da Rackspace.

Como primeiramente reportado pelo The Register, a solução SL1 da Rackspace foi hackeada via o zero-day e algumas informações de clientes foram roubadas.

Em um email enviado aos clientes e visto pelo The Register, a Rackspace alertou que os hackers exploraram o zero-day para obter acesso a servidores web e roubar dados limitados de monitoramento de clientes, incluindo nomes e números de contas de clientes, nomes de usuários de clientes, IDs de dispositivo gerados internamente pela Rackspace, nome e informação do dispositivo, endereços IP e credenciais de agente de dispositivo interno da Rackspace criptografadas com AES256.

A Rackspace rotacionou essas credenciais como precaução, apesar de estarem fortemente criptografadas, e informou aos clientes que eles não precisavam tomar nenhuma ação adicional para se proteger da atividade maliciosa, que havia sido interrompida.

Embora os dados sejam limitados, é comum que as empresas ocultem os endereços IP de seus dispositivos por trás de sistemas de entrega de conteúdo e plataformas de mitigação de DDoS.

Atores de ameaças poderiam usar os endereços IP expostos para direcionar dispositivos da empresa em ataques de DDoS ou tentativas de exploração posteriores.

Desconhece-se quantos clientes foram impactados por esta violação.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...