image

Storing Rackspace door beveiligingsincident in hosted Exchange-omgeving

maandag 5 december 2022, 08:04 door Redactie, 18 reacties

Hostingbedrijf Rackspace heeft al een aantal dagen te maken met een storing in de hosted Exchange-omgeving die is veroorzaakt door een beveiligingsincident. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen.

Na verschillende updates meldde Rackspace op 3 december dat de storing is veroorzaakt door een beveiligingsincident. Om wat voor soort incident het precies gaat laat het hostingbedrijf niet weten. Gisteren waren er nog steeds problemen met de Exchange-omgevingen waardoor klanten niet bij hun mail konden, tenzij ze verschillende workarounds doorvoerden. Tevens is Rackspace begonnen om alle getroffen klanten te bellen.

Volgens beveiligingsonderzoeker Kevin Beaumont draaide één van de Rackspace-servers mogelijk een kwetsbare versie van Exchange. Dit is niet door Rackspace bevestigd en Beaumont weet het ook niet met zekerheid, aangezien Exchange-buildnummers niet altijd betrouwbaar zijn, maar het is wel opvallend, aldus de onderzoeker. De server in kwestie zou op basis van het buildnummer sinds augustus niet meer zijn bijgewerkt met patches en daardoor kwetsbaar zijn voor het actief aangevallen ProxyNotShell-lek waarvoor Microsoft in november met updates kwam.

Rackspace laat vanochtend weten dat het de e-maildiensten al voor duizenden klanten heeft hersteld en bezig is om dit voor alle getroffen klanten te doen.

Reacties (18)
05-12-2022, 08:23 door Anoniem
Achja... Exchange... Bij mijn toenmalige werkgever in 2008 reeds uitgefaseerd...
05-12-2022, 09:58 door Anoniem
Gezien alle microsoft exchange beveiligings problemen de laatste maanden vraag je er wel om. Ik zeg kappen met die software
05-12-2022, 10:31 door _R0N_
Of je update je omgeving gewoon
05-12-2022, 10:39 door Anoniem
Door _R0N_: Of je update je omgeving gewoon

"aangezien Exchange-buildnummers niet altijd betrouwbaar zijn"

en hoe weet je dan zeker dat je up to date bent?
05-12-2022, 10:52 door Anoniem
Ik denk dat je als hoster je klanten die "hosted Exchange" willen beter kunt doorverwijzen naar Microsoft...
Dan kunnen die de boel zelf veilig houden, ze hebben daar vast de updates eerder dan de rest van de wereld.
(er zijn zelfs geruchten dat ze daar heen heel andere versie draaien, onder Linux)
05-12-2022, 10:53 door Anoniem
Door _R0N_: Of je update je omgeving gewoon

Helemaal mee eens, ook alle alternatieven zijn mogelijk kwetsbaar wanneer ze niet goed worden onderhouden.

Het begint toch echt bij het op orde houden van de basishygiene. Het is opvallend hoe vaak een veiligheidsincident is terug te leiden naar slecht uitgevoerd lifecycle management (LCM).

Een welgemeend advies, zorg dat jouw IT leverancier transparant over het risico van LCM rapporteert. De afnemer is veelal risico-eigenaar en draagt de lasten als het mis gaat.
05-12-2022, 14:27 door Anoniem
Door Anoniem:
Door _R0N_: Of je update je omgeving gewoon

"aangezien Exchange-buildnummers niet altijd betrouwbaar zijn"

en hoe weet je dan zeker dat je up to date bent?
Hoezo zijn die buildnummers niet betrouwbaar?
05-12-2022, 15:43 door -Peter-
Door Anoniem:
Door Anoniem:
Door _R0N_: Of je update je omgeving gewoon

"aangezien Exchange-buildnummers niet altijd betrouwbaar zijn"

en hoe weet je dan zeker dat je up to date bent?
Hoezo zijn die buildnummers niet betrouwbaar?

Er is geen duidelijke relatie tussen de geinstalleerde patches en buildnummers. Het buildnummer wijzigt als je patches installeert (en daarom kun je dus ook zien of er patches zijn geinstalleerd). Het vertelt echter niet welke patches niet zijn geinstalleerd.

Peter
05-12-2022, 16:17 door Anoniem
Door -Peter-:
Er is geen duidelijke relatie tussen de geinstalleerde patches en buildnummers. Het buildnummer wijzigt als je patches installeert (en daarom kun je dus ook zien of er patches zijn geinstalleerd). Het vertelt echter niet welke patches niet zijn geinstalleerd.
Tja dat is natuurlijk met iedere omgeving een probleem waar patches niet allemaal cumulatief zijn maar optioneel
wel- of niet geinstalleerd kunnen worden. Wil je het overzichtelijk een beheersbaar houden dan moeten alle patches
cumulatief zijn en leiden tot 1 bepaald buildnummer. Maar dan haal je de optie weg om bepaalde patches niet te
installeren (bijv omdat ze problemen geven in je organisatie) en latere patches wel.
05-12-2022, 18:09 door Anoniem
Door -Peter-:
Door Anoniem:
Door Anoniem:
Door _R0N_: Of je update je omgeving gewoon

"aangezien Exchange-buildnummers niet altijd betrouwbaar zijn"

en hoe weet je dan zeker dat je up to date bent?
Hoezo zijn die buildnummers niet betrouwbaar?

Er is geen duidelijke relatie tussen de geinstalleerde patches en buildnummers. Het buildnummer wijzigt als je patches installeert (en daarom kun je dus ook zien of er patches zijn geinstalleerd). Het vertelt echter niet welke patches niet zijn geinstalleerd.

Peter
Vreemd, als ik de website van Microsoft hanteer (https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019) weet ik precies wat de allerlaatste uitgebrachte versie is en via Exchange Management Shell controleer ik welke versie er op Exchange geïnstalleerd is om te weten of de patch aangebracht moet worden.
05-12-2022, 21:27 door Anoniem
Door Anoniem:
Door -Peter-:
Door Anoniem:
Door Anoniem:
Door _R0N_: Of je update je omgeving gewoon

"aangezien Exchange-buildnummers niet altijd betrouwbaar zijn"

en hoe weet je dan zeker dat je up to date bent?
Hoezo zijn die buildnummers niet betrouwbaar?

Er is geen duidelijke relatie tussen de geinstalleerde patches en buildnummers. Het buildnummer wijzigt als je patches installeert (en daarom kun je dus ook zien of er patches zijn geinstalleerd). Het vertelt echter niet welke patches niet zijn geinstalleerd.

Peter
Vreemd, als ik de website van Microsoft hanteer (https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019) weet ik precies wat de allerlaatste uitgebrachte versie is en via Exchange Management Shell controleer ik welke versie er op Exchange geïnstalleerd is om te weten of de patch aangebracht moet worden.

dan ga jij maar lekker met rackspace en Kevin hier over discusieren.

citaat uit originele post:

"Volgens beveiligingsonderzoeker Kevin Beaumont draaide één van de Rackspace-servers mogelijk een kwetsbare versie van Exchange. Dit is niet door Rackspace bevestigd en Beaumont weet het ook niet met zekerheid, aangezien Exchange-buildnummers niet altijd betrouwbaar zijn, maar het is wel opvallend, aldus de onderzoeker."
05-12-2022, 23:53 door Anoniem
Door Anoniem:
Door _R0N_: Of je update je omgeving gewoon

Helemaal mee eens, ook alle alternatieven zijn mogelijk kwetsbaar wanneer ze niet goed worden onderhouden.

Het begint toch echt bij het op orde houden van de basishygiene. Het is opvallend hoe vaak een veiligheidsincident is terug te leiden naar slecht uitgevoerd lifecycle management (LCM).

Een welgemeend advies, zorg dat jouw IT leverancier transparant over het risico van LCM rapporteert. De afnemer is veelal risico-eigenaar en draagt de lasten als het mis gaat.
Het hele punt is dat deze software niet goed te onderhouden is. Onvergelijkbaar met alternatieven. Niet meer downplayen graag
06-12-2022, 07:51 door Anoniem
build nummers zijn niet altijd betrouwbaar omdat je op veel plekken ervoor kan kiezen ze niet te tonen of andere informatie.
Een goed voorbeeld is de mailserver banner (smtp), die je kan aanpassen; je kan dan ook een nep-build nummer tonen.
06-12-2022, 08:49 door Bitje-scheef
Yep cruelpit Exchange. Tijd voor een ander product.
06-12-2022, 09:25 door Tintin and Milou
Door Bitje-scheef: Yep cruelpit Exchange. Tijd voor een ander product.
Of patch beheer goed en professioneel inrichten?
06-12-2022, 16:00 door Anoniem
Door Anoniem:
Door _R0N_: Of je update je omgeving gewoon

"aangezien Exchange-buildnummers niet altijd betrouwbaar zijn"

en hoe weet je dan zeker dat je up to date bent?

Inderdaad, maar ik zou niet teveel klagen op QA want dan wordt je account gewoon verwijderd.
06-12-2022, 16:01 door Anoniem
Door Tintin and Milou:
Door Bitje-scheef: Yep cruelpit Exchange. Tijd voor een ander product.
Of patch beheer goed en professioneel inrichten?

Dat heeft weinig zin als de source gestolen is en programmeerkwaliteit van laag niveau is.
07-12-2022, 18:22 door Anoniem
Door Anoniem:
Door Tintin and Milou:
Door Bitje-scheef: Yep cruelpit Exchange. Tijd voor een ander product.
Of patch beheer goed en professioneel inrichten?

Dat heeft weinig zin als de source gestolen is en programmeerkwaliteit van laag niveau is.
Met al die zero days kan je er beter mee stoppen. Joost mag weten waarom deze software niet van de markt wordt gehaald.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.