Rackspace mengalami serangan rantai pasokan (supply chain attack) yang menyebabkan akses tidak sah ke informasi pemantauan internal yang terkait dengan klien mereka. Serangan ini terjadi karena adanya kerentanan zero-day di salah satu perangkat lunak yang digunakan dalam dashboard pemantauan pelanggan yang dikembangkan oleh ScienceLogic, platform manajemen operasi TI yang digunakan Rackspace.
Ringkasan Serangan:
- Serangan Rantai Pasokan: Rackspace, penyedia layanan cloud, menggunakan dashboard pemantauan pelanggan yang dikembangkan oleh ScienceLogic. Perangkat lunak dalam dashboard tersebut memiliki kerentanan zero-day yang belum diketahui (belum ada CVE yang diterbitkan).
- Eksploitasi Kerentanan: Aktor jahat menemukan kerentanan tersebut dan mengeksploitasinya untuk mengakses server Rackspace. Akibatnya, mereka dapat memperoleh informasi internal terkait dengan pemantauan pelanggan Rackspace, termasuk nama akun, nomor akun, nama perangkat, alamat IP, dan kredensial agen perangkat yang dienkripsi dengan AES256.
- Respon Cepat: Setelah mengetahui pelanggaran ini, Rackspace segera menonaktifkan dashboard pemantauan pelanggan. ScienceLogic mengeluarkan patch untuk menutup kerentanan tersebut, dan Rackspace mengonfirmasi bahwa tidak ada gangguan lebih lanjut pada layanan lain, serta pemantauan kinerja pelanggan tetap berjalan normal.
- Tindakan yang Direkomendasikan: Meskipun tidak ada tindakan segera yang diperlukan dari pihak pelanggan, Rackspace menyarankan pengguna untuk mengganti kredensial agen perangkat internal mereka sebagai tindakan pencegahan ekstra.
Mengapa Ini Penting:
- Kerentanan Zero-Day: Ini merupakan jenis kerentanan yang belum diketahui atau ditangani sebelumnya, sehingga memberikan kesempatan bagi aktor jahat untuk mengeksploitasi sistem.
- Serangan Rantai Pasokan: Serangan jenis ini melibatkan kompromi pada satu bagian rantai penyediaan perangkat lunak atau layanan untuk menyerang target yang lebih besar, seperti Rackspace.
- Data yang Terkompromi: Informasi sensitif yang dicuri bisa digunakan untuk upaya serangan lebih lanjut, meskipun beberapa data dienkripsi.