Der renommierte Cloud-Hosting-Anbieter Rackspace wurde kürzlich Opfer eines Cyberangriffs, bei dem „begrenzte“ Kundendaten offengelegt wurden. Die Angreifer nutzten dabei eine bisher unbekannte Sicherheitslücke (Zero-Day-Vulnerability) in der Monitoring-Plattform ScienceLogic SL1 aus, die von Rackspace zur Überwachung seiner IT-Infrastruktur eingesetzt wird.
Details zum Sicherheitsvorfall bei Rackspace
Der Angriff wurde erstmals in der vergangenen Woche über soziale Medien publik. Ein Nutzer warnte vor Störungen bei Rackspace, die auf die aktive Ausnutzung einer Schwachstelle in ScienceLogic SL1 zurückzuführen seien. Laut Berichten erlangten die Angreifer Zugriff auf drei interne Monitoring-Webserver von Rackspace.
Als Reaktion auf die entdeckte Bedrohung deaktivierte das Rackspace-Team vorübergehend die Monitoring-Funktionen im MyRack-Portal, bis ein Sicherheitsupdate verfügbar war. Besonders besorgniserregend ist, dass es sich um eine Zero-Day-Lücke handelte, also eine Schwachstelle, die vor ihrer Ausnutzung nicht öffentlich bekannt war.
Umfang des Datenlecks und betroffene Informationen
Nach Angaben von Rackspace wurden bei dem Angriff begrenzte Kundendaten aus dem Monitoring-System entwendet. Zu den kompromittierten Informationen gehören:
- Kundennamen und Kontonummern
- Benutzernamen
- Interne Geräte-IDs
- Gerätenamen und -informationen
- IP-Adressen
- Mit AES256 verschlüsselte Zugangsdaten für interne Geräte-Agenten
Als Vorsichtsmaßnahme hat Rackspace die betroffenen Zugangsdaten trotz ihrer Verschlüsselung zurückgesetzt. Kunden wurden informiert, dass keine weiteren Aktionen ihrerseits erforderlich sind.
Reaktion von ScienceLogic und Behebung der Schwachstelle
ScienceLogic, der Hersteller der betroffenen SL1-Plattform, reagierte prompt auf den Vorfall. Jessica Lindberg, Vizepräsidentin von ScienceLogic, bestätigte gegenüber Bleeping Computer: „Wir haben eine Zero-Day Remote Code Execution Schwachstelle in einem Drittanbieter-Tool identifiziert, das mit dem SL1-Paket ausgeliefert wird. Nach der Entdeckung haben wir schnell einen Patch entwickelt und ihn allen betroffenen Kunden weltweit zur Verfügung gestellt.“
Aus Sicherheitsgründen nannte ScienceLogic den Namen des verwundbaren Drittanbieter-Tools nicht, um potenzielle Angreifer nicht mit zusätzlichen Informationen zu versorgen.
Auswirkungen auf Rackspace-Kunden und Lessons Learned
Rackspace betonte, dass die kompromittierte Komponente lediglich ein internes System zur Erstellung von Leistungsberichten war. Nach eingehenden Untersuchungen wurden keine Anzeichen für unbefugten Zugriff auf Kundeneinstellungen oder -daten außerhalb des Monitoring-Systems gefunden. Die einzige spürbare Auswirkung für Kunden war der vorübergehende Ausfall des ScienceLogic-Dashboards, das als optionale Funktion ohnehin nur von wenigen Nutzern verwendet wurde.
Dieser Vorfall unterstreicht die Bedeutung einer gründlichen Überprüfung und Absicherung von Drittanbieter-Software in Unternehmensnetzwerken. Organisationen sollten ihre Cybersicherheitsstrategien regelmäßig überprüfen und aktualisieren, um auch Risiken durch Komponenten von Zulieferern zu minimieren. Zudem zeigt sich erneut, wie wichtig eine schnelle Reaktion und transparente Kommunikation im Falle eines Sicherheitsvorfalls sind, um das Vertrauen der Kunden zu wahren und potenzielle Schäden zu begrenzen.
