O provedor de hospedagem em nuvem Rackspace sofreu uma violação de dados expondo "dados limitados" de monitoramento de clientes após atores de ameaças explorarem uma vulnerabilidade zero-day em uma ferramenta de terceiros utilizada pela plataforma ScienceLogic SL1.
A ScienceLogic confirmou que rapidamente desenvolveu um patch para abordar o risco e o distribuiu a todos os clientes impactados, ainda prestando assistência onde necessário.
"Identificamos uma vulnerabilidade de execução remota de código zero-day dentro de uma utilidade de terceiros não-ScienceLogic que é entregue com o pacote SL1," explicou uma declaração de Jessica Lindberg, Vice-Presidente na ScienceLogic.
Após a identificação, desenvolvemos rapidamente um patch para remediar o incidente e o disponibilizamos a todos os clientes globalmente.
A ScienceLogic se recusou a nomear a utilidade de terceiros para evitar dar dicas a outros hackers, já que poderia ser usada em vários outros produtos.
O ataque foi inicialmente divulgado por um usuário no X que alertou que uma interrupção da Rackspace em 24 de setembro foi devido à exploração ativa no ScienceLogic EM7 do provedor de hospedagem.
"Oopsie, uma vulnerabilidade de execução remota de código zero-day foi explorada...
aplicativo ScienceLogic de terceiros usado pela Rackspace," um conta chamada ynezz compartilhou no X.
"Confirmamos que a exploração deste aplicativo de terceiros resultou em acesso a três servidores web de monitoramento internos da Rackspace."
ScienceLogic SL1 (anteriormente EM7) é uma plataforma de operações de TI para monitoramento, análise e automação da infraestrutura de uma organização, incluindo nuvem, redes e aplicações.
Ele fornece visibilidade em tempo real, correlação de eventos e fluxos de trabalho automatizados para ajudar a gerenciar e otimizar ambientes de TI de forma eficiente.
Rackspace, uma empresa de computação em nuvem gerenciada (hospedagem, armazenamento, suporte de TI), usa o ScienceLogic SL1 para monitorar sua infraestrutura e serviços de TI.
Em resposta à descoberta da atividade maliciosa, a Rackspace desativou gráficos de monitoramento em seu portal MyRack até que pudessem implementar uma atualização para remediar o risco.
Entretanto, a situação era pior do que o refletido em uma breve atualização de status de serviço da Rackspace.
Como primeiramente reportado pelo The Register, a solução SL1 da Rackspace foi hackeada via o zero-day e algumas informações de clientes foram roubadas.
Em um email enviado aos clientes e visto pelo The Register, a Rackspace alertou que os hackers exploraram o zero-day para obter acesso a servidores web e roubar dados limitados de monitoramento de clientes, incluindo nomes e números de contas de clientes, nomes de usuários de clientes, IDs de dispositivo gerados internamente pela Rackspace, nome e informação do dispositivo, endereços IP e credenciais de agente de dispositivo interno da Rackspace criptografadas com AES256.
A Rackspace rotacionou essas credenciais como precaução, apesar de estarem fortemente criptografadas, e informou aos clientes que eles não precisavam tomar nenhuma ação adicional para se proteger da atividade maliciosa, que havia sido interrompida.
Embora os dados sejam limitados, é comum que as empresas ocultem os endereços IP de seus dispositivos por trás de sistemas de entrega de conteúdo e plataformas de mitigação de DDoS.
Atores de ameaças poderiam usar os endereços IP expostos para direcionar dispositivos da empresa em ataques de DDoS ou tentativas de exploração posteriores.
Desconhece-se quantos clientes foram impactados por esta violação.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...