Cloudhostingbedrijf Rackspace is getroffen door een zero day-kwetsbaarheid op een door ScienceLogic aangestuurd monitoringdashboard, dat Rackspace host op zijn interne webservers.
Rackspace liet zijn klanten weten dat indringers een zero day-bug in een externe applicatie die het gebruikte op zijn interne webservers misbruikte, dat meldt The Register. Rackspace host een door ScienceLogic aangestuurd monitoringdashboard voor zijn klanten, dat nu misbruikt zou zijn op basis van een zero day-kwetsbaarheid. Misdadigers kregen zo toegang tot monitoringgerelateerde klantinformatie. Hierdoor werd Rackspace verplicht zijn monitoringdashboard tijdelijk offline te halen voor klanten. Rackspace en ScienceLogic brachten hun klanten reeds op de hoogte.
Zero day
De interne monitoring webservers van cloudhostingbedrijf Rackspace zouden getroffen zijn door een zero day. Rackspace zou een door ScienceLogic aangestuurd monitoringdashboard voor zijn klanten hosten op zijn eigen interne webservers. Deze servers bevatten een programma dat was gebundeld met de software van ScienceLogic. Dat programma zou misbruikt zijn door aanvallers op basis van een zero day-kwetsbaarheid. Hierdoor kregen de misdadigers toegang tot de webservers, waar ze monitoringgerelateerde klantinformatie konden bemachtigen voordat ze werden opgemerkt.
“Op 24 september 2024 ontdekte Rackspace een zero-day remote code execution-kwetsbaarheid in een niet-Rackspace-hulpprogramma, dat is verpakt en geleverd samen met de externe ScienceLogic-applicatie”, aldus een woordvoerder van Rackspace aan The Register.
“Door misbruik te maken van deze zero-day-kwetsbaarheid kregen de criminelen toegang tot drie van Rackspace’s interne monitoring-webservers, en wat beperkte monitoringinformatie”, ging de woordvoerder van Rackspace verder. “De prestatiebewaking van klanten werd niet beïnvloed door deze gebeurtenis. De enige impact voor klanten was het onvermogen om toegang te krijgen tot hun bijbehorende monitoring-dashboard. Er was geen andere verstoring van de klantenservice als gevolg van deze gebeurtenis.”
Interne monitoringinformatie
Een brief van Rackspace aan zijn klanten, ingelezen door The Register, geeft meer informatie over welke data de criminelen hebben kunnen bekijken. Dit gaat over klantaccountnamen en -nummers, gebruikersnamen van klanten, intern gegenereerde apparaat-ID’s van Rackspace, namen en apparaatinformatie, IP-adressen van apparaten en AES256-gecodeerde Rackspace interne apparaatagent-referenties.
Zowel Rackspace en ScienceLogic stelden hun klanten op de hoogte van dit voorval. Er zouden volgens Rackspace geen andere Rackspace-producten, -platforms, -oplossingen- of bedrijven getroffen zijn door deze gebeurtenis.