रैकस्पेस होस्टेड एक्सचेंज को 2 दिसंबर, 2022 से विनाशकारी आउटेज का सामना करना पड़ा और 4 दिसंबर को 12:37 पूर्वाह्न तक अभी भी जारी है। प्रारंभ में कनेक्टिविटी और लॉगिन मुद्दों के रूप में वर्णित, मार्गदर्शन को अंततः यह घोषणा करने के लिए अद्यतन किया गया था कि वे एक सुरक्षा घटना से निपट रहे थे।
रैकस्पेस होस्टेड एक्सचेंज मुद्दे
रैकस्पेस सिस्टम 2 दिसंबर, 2022 की सुबह के घंटों में नीचे चला गया। शुरुआत में रैकस्पेस से इस बारे में कोई शब्द नहीं आया कि समस्या क्या थी, इसका समाधान कब होगा इसका ETA तो दूर की बात है।
ट्विटर पर ग्राहकों ने बताया कि रैकस्पेस समर्थन ईमेल का जवाब नहीं दे रहा है।
यह काफी दिन रहा है #रैकस्पेस. प्रत्येक होस्टेड एक्सचेंज क्लाइंट 14 घंटे या उससे अधिक के लिए बंद हो गया है। समर्थन टिकटों को पढ़/जवाब नहीं दे रहा है। अद्यतन अनुपयोगी हैं।
मैं अब चिंतित हूं कि वे ProxyNotShell PoC हैक जैसी किसी खराब चीज के शिकार हो गए। https://t.co/jchKsAO3Z7
— जो सिंकविट्ज़ (@CygnusSEO) 2 दिसंबर, 2022
रैकस्पेस के एक ग्राहक ने अपने अनुभव बताने के लिए शुक्रवार को मुझे निजी तौर पर सोशल मीडिया पर मैसेज किया:
“पिछले 16 घंटों में सभी होस्ट किए गए एक्सचेंज क्लाइंट डाउन हो गए हैं।
यह निश्चित नहीं है कि कितनी कंपनियां हैं, लेकिन यह महत्वपूर्ण है।
वे 554 लंबी देरी से बाउंस पेश कर रहे हैं, इसलिए ईमेल करने वाले लोगों को कई घंटों तक बाउंस के बारे में पता नहीं चलता है।”
आधिकारिक रैकस्पेस स्टेटस पेज ने आउटेज का रनिंग अपडेट पेश किया लेकिन शुरुआती पोस्ट में आउटेज के अलावा कोई जानकारी नहीं थी और इसकी जांच की जा रही थी।
सबसे पहला आधिकारिक अद्यतन 2 दिसंबर को 2:49 AM पर था:
“हम एक ऐसे मुद्दे की जांच कर रहे हैं जो हमारे होस्टेड एक्सचेंज वातावरण को प्रभावित कर रहा है। जैसे ही वे उपलब्ध होंगे अधिक विवरण पोस्ट किए जाएंगे। ”
तेरह मिनट बाद रैकस्पेस ने इसे “कनेक्टिविटी इश्यू” कहना शुरू किया।
“हम अपने एक्सचेंज वातावरण में कनेक्टिविटी मुद्दों की रिपोर्ट की जांच कर रहे हैं।
उपयोगकर्ता आउटलुक वेब ऐप (वेबमेल) तक पहुँचने और अपने ईमेल क्लाइंट को सिंक करने में त्रुटि का अनुभव कर सकते हैं।
6:36 पूर्वाह्न तक रैकस्पेस अपडेट ने चल रही समस्या को “कनेक्टिविटी और लॉगिन मुद्दों” के रूप में वर्णित किया, फिर बाद में दोपहर 1:54 बजे रैकस्पेस ने घोषणा की कि वे अभी भी आउटेज के “जांच चरण” में थे, अभी भी यह पता लगाने की कोशिश कर रहे थे कि क्या हुआ गलत।
और वे अभी भी इसे बुला रहे थे उस दोपहर 4:51 बजे उनके क्लाउड ऑफिस वातावरण में “कनेक्टिविटी और लॉगिन मुद्दे”।
रैकस्पेस माइक्रोसॉफ्ट 365 में माइग्रेट करने की सिफारिश करता है
चार घंटे बाद रैकस्पेस ने स्थिति को एक “महत्वपूर्ण विफलता” के रूप में संदर्भित किया और अपने ग्राहकों को Microsoft 365 पर माइक्रोसॉफ्ट एक्सचेंज प्लान 1 लाइसेंस को वर्कअराउंड के रूप में तब तक पेश करना शुरू किया जब तक कि वे समस्या को समझ नहीं पाए और सिस्टम को ऑनलाइन वापस ला सके।
आधिकारिक मार्गदर्शन में कहा गया है:
“हमने अपने होस्टेड एक्सचेंज वातावरण में एक महत्वपूर्ण विफलता का अनुभव किया। जब तक हम सेवा बहाल करने का काम जारी रखते हैं, तब तक किसी और समस्या से बचने के लिए हम सक्रिय रूप से पर्यावरण को बंद कर देते हैं। जैसा कि हम समस्या के मूल कारण के माध्यम से काम करना जारी रखते हैं, हमारे पास एक वैकल्पिक समाधान है जो ईमेल भेजने और प्राप्त करने की आपकी क्षमता को फिर से सक्रिय करेगा।
आपके लिए कोई कीमत नहीं, हम आपको अगली सूचना तक Microsoft 365 पर Microsoft Exchange Plan 1 लाइसेंस तक पहुंच प्रदान करेंगे।
रैकस्पेस होस्टेड एक्सचेंज सुरक्षा घटना
लगभग 24 घंटे बाद 3 दिसंबर को 1:57 पूर्वाह्न पर रैकस्पेस ने आधिकारिक तौर पर घोषणा की कि उनकी होस्टेड एक्सचेंज सेवा एक सुरक्षा घटना से पीड़ित थी।
घोषणा ने आगे खुलासा किया कि रैकस्पेस तकनीशियनों ने एक्सचेंज पर्यावरण को संचालित और डिस्कनेक्ट कर दिया था।
रैकस्पेस पोस्ट किया गया:
“आगे के विश्लेषण के बाद, हमने निर्धारित किया है कि यह एक सुरक्षा घटना है।
ज्ञात प्रभाव हमारे होस्टेड एक्सचेंज प्लेटफॉर्म के एक हिस्से से अलग है। हम अपने पर्यावरण का मूल्यांकन और सुरक्षा करने के लिए आवश्यक कार्रवाई कर रहे हैं।”
बारह घंटे बाद उस दोपहर उन्होंने स्थिति पृष्ठ को अधिक जानकारी के साथ अद्यतन किया कि उनकी सुरक्षा टीम और बाहरी विशेषज्ञ अभी भी समस्या को हल करने पर काम कर रहे थे।
क्या रैकस्पेस सेवा भेद्यता से प्रभावित थी?
रैकस्पेस ने सुरक्षा घटना का ब्योरा जारी नहीं किया है।
एक सुरक्षा घटना में आम तौर पर भेद्यता शामिल होती है और वर्तमान में दो गंभीर भेद्यताएं हैं जिन्हें नवंबर 2022 में पैच किया गया था।
ये दो सबसे मौजूदा भेद्यताएं हैं:
- सीवीई-2022-41040
Microsoft एक्सचेंज सर्वर सर्वर-साइड अनुरोध जालसाजी (SSRF) भेद्यता
एक सर्वर साइड रिक्वेस्ट फोर्जरी (SSRF) हमला एक हैकर को सर्वर पर डेटा को पढ़ने और बदलने की अनुमति देता है। - सीवीई-2022-41082
माइक्रोसॉफ्ट एक्सचेंज सर्वर रिमोट कोड निष्पादन भेद्यता
एक दूरस्थ कोड निष्पादन भेद्यता वह है जिसमें एक हमलावर सर्वर पर दुर्भावनापूर्ण कोड चलाने में सक्षम होता है।
एक अक्टूबर 2022 में प्रकाशित सलाहकार कमजोरियों के प्रभाव का वर्णन:
“एक प्रमाणित दूरस्थ हमलावर SSRF हमलों को विशेषाधिकारों को बढ़ाने और कमजोर Microsoft एक्सचेंज सर्वरों पर मनमाने PowerShell कोड को निष्पादित करने के लिए कर सकता है।
चूंकि हमला माइक्रोसॉफ्ट एक्सचेंज मेलबॉक्स सर्वर के खिलाफ लक्षित है, हमलावर संभावित रूप से एक्सचेंज और सक्रिय निर्देशिका वातावरण में पार्श्व आंदोलन के माध्यम से अन्य संसाधनों तक पहुंच प्राप्त कर सकता है।
रैकस्पेस आउटेज अपडेट ने यह संकेत नहीं दिया है कि विशिष्ट समस्या क्या थी, केवल यह कि यह एक सुरक्षा घटना थी।
4 दिसंबर तक के नवीनतम स्थिति अपडेट में कहा गया है कि सेवा अभी भी बंद है और ग्राहकों को Microsoft 365 सेवा में माइग्रेट करने के लिए प्रोत्साहित किया जाता है।
रैकस्पेस निम्नलिखित पोस्ट किया 4 दिसंबर, 2022 को दोपहर 12:37 बजे:
“हम घटना को संबोधित करने में प्रगति करना जारी रखते हैं। आपकी सेवा की उपलब्धता और आपके डेटा की सुरक्षा का अत्यधिक महत्व है।
हमने ग्राहकों पर पड़ने वाले नकारात्मक प्रभावों को कम करने के अपने प्रयासों में व्यापक आंतरिक संसाधनों और विश्व स्तरीय बाहरी विशेषज्ञता को शामिल किया है।
यह संभव है कि ऊपर बताई गई कमजोरियां रैकस्पेस होस्टेड एक्सचेंज सेवा को प्रभावित करने वाली सुरक्षा घटना से संबंधित हों।
इस बात की कोई घोषणा नहीं की गई है कि ग्राहक की जानकारी से समझौता किया गया है या नहीं। यह आयोजन अभी भी जारी है।
शटरस्टॉक/ऑर्न रिन द्वारा प्रदर्शित चित्र