Rackspace

クラウド・ホスティング・プロバイダーのRackspaceは、ScienceLogic SL1プラットフォームで使用されているサードパーティ・ツールのゼロデイ脆弱性を悪用され、「限定的な」顧客モニタリング・データが流出するデータ侵害に見舞われた。

ScienceLogic社は、このリスクに対処するためのパッチを迅速に開発し、影響を受けたすべての顧客に配布したことを確認しました。

「SL1パッケージで提供されているScienceLogic以外のサードパーティ製ユーティリティにゼロデイ・リモートコード実行脆弱性があることを確認しました。

「特定された時点で、このインシデントを修正するパッチを迅速に開発し、世界中のすべての顧客に提供しました。

サイエンスロジック社は、他のハッカーにヒントを与えることを避けるため、サードパーティ製ユーティリティの名前を挙げることを拒否した。

この攻撃は、9月24日に発生したRackspaceの障害が、ホスティング・プロバイダーのScienceLogic EM7におけるアクティブな悪用によるものであると警告したX上のユーザーによって最初に公表された。

“おっと、ゼロデイ・リモートコード実行の脆弱性が悪用された……Rackspaceが使用しているサードパーティのScienceLogicアプリケーション “と、ynezzというアカウントはX上で共有した

“このサードパーティ製アプリケーションを悪用され、Rackspace社内の監視用ウェブサーバ3台にアクセスされたことを確認しました。”

Ynezz tweet

ScienceLogic SL1(旧EM7)は、クラウド、ネットワーク、アプリケーションを含む組織のインフラを監視、分析、自動化するためのIT運用プラットフォームです。

リアルタイムの可視化、イベント相関、自動化されたワークフローを提供し、IT環境の効率的な管理と最適化を支援する。

マネージド・クラウド・コンピューティング(ホスティング、ストレージ、ITサポート)企業であるRackspace社は、ScienceLogic SL1を使用してITインフラとサービスを監視しています。

悪意のあるアクティビティが発見されたことを受けて、Rackspaceはリスクを修正するためのアップデートをプッシュするまで、MyRackポータルの監視グラフを無効にしました。

しかし、状況はRackspaceのサービス・ステータスの短い更新に反映されるよりも深刻だった。

The Registerが最初に報じたように、RackspaceのSL1ソリューションはゼロデイによってハッキングされ、顧客情報の一部が盗まれました。

Rackspaceは、顧客に送られThe Registerが閲覧した電子メールの中で、ハッカーがゼロデイを悪用してウェブサーバーにアクセスし、顧客のアカウント名と番号、顧客のユーザー名、Rackspace内部で生成されたデバイスID、デバイス名と情報、IPアドレス、AES256で暗号化されたRackspace内部デバイスエージェントの認証情報など、限られた顧客のモニタリングデータを盗んだと警告しています。

Rackspaceは、これらの認証情報が強力に暗号化されているにもかかわらず、予防措置としてこれらの認証情報をローテーションし、悪意のある活動から保護するためにこれ以上の措置を講じる必要がないことを顧客に通知しました。

このデータは限定的なものですが、企業がコンテンツ・デリバリー・システムやDDoSミティゲーション・プラットフォームの背後にデバイスのIPアドレスを隠すことはよくあることです。脅威行為者は、公開されたIPアドレスを使用して、DDoS攻撃やさらなる悪用の試みで企業のデバイスを標的にする可能性がある。

この侵害によってどれだけの顧客が影響を受けたかは不明です。

RackSpace に問い合わせましたが、回答は得られませんでした。