Infostand海外ITトピックス
年末のRackspaceのサービスダウン パッチでなく緩和策での対応が裏目に
2023年1月16日 11:18
パッチは当てずに緩和策を実施したが……
PLAYが利用したCVE-2022-41080は、Microsoft Exchangeサーバーの脆弱性で、SSRF(Server Side Request Forgery)攻撃を可能にするものだ。Microsoftはこれを特権昇格の脆弱性として、11月にパッチを公開済みだった。Exchangeの別の脆弱性であるリモートコード実行(RCE)欠陥(CVE-2022-41082)を組み合わせると、攻撃者は感染したサーバーを完全に乗っ取ることができるという。
Dark Readingは、Rackspaceの最高セキュリティ責任者Karen O'Reilly-Smith氏とCrowdStrikeの話から、経緯を整理している。MicrosoftはDark Readingに対し、コメントを控えているとのことだ。
それによると、同社はProxyNotShellのパッチが認証エラーを引き起こしてExchangeサーバーをダウンさせる恐れがあるという報告を考慮し、パッチの適用を控えていたという。代わりに、Microsoftが推奨する緩和策を実施していた。
Dark Readingは、このようにパッチ適用を見送るのは「変わったことではない」と解説。「公共性の高いリソースにおいて、(パッチの適用ではなく)緩和策が望ましい場合が多い」(Netenrichの主席脅威ハンターであるJohn Bambenek氏)との意見を紹介する。
同時にBambenek氏は「緩和策が適切で完全なものならば、ほとんどの場合で良い賭けになるだろう。だが、適切な判断を下すためには、経験のある専門家が必要」とも指摘している。
Rackspaceの場合、攻撃者がCVE-2022-41080を使用してRackspaceの環境でRCE欠陥を引き起こす方法を見つけたため、その緩和策が失敗したというわけだ。対応自体は、それほど間違っていたわけではなく、Rackspaceには気の毒な面もあったように見える。
なおThe Registerは、Hosted Exchangeの売り上げは同社の年間売上高の1%に過ぎないこと、以前からRackspaceは顧客にMicrosoft 365への移行を促していたことなどに触れながら、攻撃に遭ったHosted Exchangeサービスの再構築はしないと伝えている。