年末のRackspaceのサービスダウン　パッチでなく緩和策での対応が裏目に

パッチは当てずに緩和策を実施したが……

　PLAYが利用したCVE-2022-41080は、Microsoft Exchangeサーバーの脆弱性で、SSRF（Server Side Request Forgery）攻撃を可能にするものだ。Microsoftはこれを特権昇格の脆弱性として、11月にパッチを公開済みだった。Exchangeの別の脆弱性であるリモートコード実行（RCE）欠陥（CVE-2022-41082）を組み合わせると、攻撃者は感染したサーバーを完全に乗っ取ることができるという。

　Dark Readingは、Rackspaceの最高セキュリティ責任者Karen O'Reilly-Smith氏とCrowdStrikeの話から、経緯を整理している。MicrosoftはDark Readingに対し、コメントを控えているとのことだ。

　それによると、同社はProxyNotShellのパッチが認証エラーを引き起こしてExchangeサーバーをダウンさせる恐れがあるという報告を考慮し、パッチの適用を控えていたという。代わりに、Microsoftが推奨する緩和策を実施していた。

　Dark Readingは、このようにパッチ適用を見送るのは「変わったことではない」と解説。「公共性の高いリソースにおいて、（パッチの適用ではなく）緩和策が望ましい場合が多い」（Netenrichの主席脅威ハンターであるJohn Bambenek氏）との意見を紹介する。

　同時にBambenek氏は「緩和策が適切で完全なものならば、ほとんどの場合で良い賭けになるだろう。だが、適切な判断を下すためには、経験のある専門家が必要」とも指摘している。

　Rackspaceの場合、攻撃者がCVE-2022-41080を使用してRackspaceの環境でRCE欠陥を引き起こす方法を見つけたため、その緩和策が失敗したというわけだ。対応自体は、それほど間違っていたわけではなく、Rackspaceには気の毒な面もあったように見える。

　なおThe Registerは、Hosted Exchangeの売り上げは同社の年間売上高の1％に過ぎないこと、以前からRackspaceは顧客にMicrosoft 365への移行を促していたことなどに触れながら、攻撃に遭ったHosted Exchangeサービスの再構築はしないと伝えている。