Rychlá navigace
GoDaddy zasílá zákazníkům upozornění, aby je upozornila na narušení bezpečnosti hostingu.Narušení bezpečnosti popisuje GoDaddy vágně jako jednotlivec, který získává přihlašovací údaje, které by mohly hackerovi poskytnout možnost nahrávat nebo měnit soubory webových stránek.
Hosting GoDaddy kompromitován na šest měsíců
Podle kalifornského ministerstva spravedlnosti k narušení bezpečnosti došlo 19. října 2019 a bylo nahlášeno asi o šest měsíců později 3. května 2020.
Snímek obrazovky z webové stránky ministerstva spravedlnosti státu Kalifornie pro oznámení o narušení bezpečnosti.
Porušení přístupu SSH
SSH je známý jako Secure Shell.Je to zabezpečený protokol používaný k provádění příkazů na serveru a také k nahrávání a změně souborů.
Pokud má útočník k webu přístup SSH, web je kompromitován.
Obecně platí, že pouze uživatelé na úrovni správce by měli mít přístup SSH kvůli rozsáhlým změnám, které lze provést v základních souborech webu.
GoDaddy oznámil, že neznámý útočník kompromitoval některé z jejich serverů.
Oficiální e-mailové prohlášení GoDaddy:
"Šetřením bylo zjištěno, že neoprávněná osoba měla přístup k vašim přihlašovacím údajům používaným k připojení k SSH na vašem hostitelském účtu."
Jak bylo ohroženo SSH?
Podle GoDaddy, kompromis v SSH začal v říjnu 2019 a byl objeven v dubnu 2020.
Kromě obecného prohlášení o tom, kdy k porušení došlo a že to mělo něco společného s SSH, nezdá se, že by GoDaddy zveřejnil žádné další informace.
- GoDaddy neříká, zda se jedná o novou zranitelnost.
- GoDaddy neuvedl, zda to bylo ze známé zranitelnosti z října 2019, která byla neopravena.
Jediné, co GoDaddy připustil, bylo, že servery byly v říjnu 2019 kompromitovány třetí stranou a po dobu šesti měsíců to zůstalo nezjištěno.
Říjen Zranitelnost SSH
Hledání zranitelností SSH ukazuje, že závažná zranitelnost byla objevena v OpenSSH 7.7 až 7.9 a všech verzích OpenSSH 8 až 8.1.
Chyba zabezpečení v OpenSSH byla opravena 10.09.2019 ve verzi 8.1.Toto datum se shoduje s datem října 2019, které společnost GoDaddy potvrdila jako datum, kdy byly kompromitovány jejich hostitelské servery.
GoDaddy nepotvrdil, zda se jedná o chybu zabezpečení výše uvedenou.
Zpráva je uložena ve zprávě Národní databáze zranitelnosti vlády Spojených států CVE-2019-16905
Ale zranitelnost byla objevena a popsána společností SecuriTeam, kde má úplné odhalení.
Toto je popis SecuriTeamu:
„Pokud útočník vygeneruje stav, kdy je ‚aadlen‘ + ‚encrypted_len‘ větší než INT_MAX, pak je možné úspěšně projít ověřením…
Jakákoli funkce OpenSSH, která dokáže analyzovat soukromý klíč XMSS, je zranitelná.“
Pokud se výše uvedené týká zranitelnosti SSH ovlivňující GoDaddy, o které GoDaddy říká, že začala v říjnu 2019, pak to může znamenat, že ten, kdo měl na starosti údržbu serverů GoDaddy, zranitelnost neaktualizoval a servery byly do dubna 2020 neopraveny.
Ale nemůžeme s jistotou vědět, co se stalo.GoDaddy nepopsal, proč bylo narušení bezpečnosti šest měsíců nezjištěno.
GoDaddy vynechává podrobnosti o Exploitu
GoDaddy neřekl, o jakou zranitelnost jde.GoDaddy neuvedl, zda se jedná o novou zranitelnost, nebo zda jde o zranitelnost z října 2019 popsanou výše.
GoDaddy neuvedl, zda některé weby změnily své soubory.
Podle zprávy v Threatpost se toto narušení bezpečnosti dotklo 28 000 hostingových účtů.
GoDaddy resetuje hesla
GoDaddy poslal e-mail dotčeným zákazníkům, aby jim oznámil, že jejich hesla byla změněna.E-mail obsahuje odkaz na postupy, které je třeba dodržet při resetování hesla.
Kolik webů hostovaných GoDaddy bylo hacknuto?
GoDaddy neuvedl, zda byly nějaké webové stránky hacknuty.V e-mailu zaslaném zákazníkům bylo uvedeno, že GoDaddy zjistil „podezřelou aktivitu“ na serverech jejich zákazníků.
Podle GoDaddyho:
„Šetřením bylo zjištěno, že neoprávněná osoba měla přístup k vašim přihlašovacím údajům používaným k připojení k SSH na vašem hostingovém účtu.
Nemáme žádné důkazy o tom, že by na váš účet byly přidány nebo upraveny nějaké soubory.Neoprávněná osoba byla z našich systémů zablokována a nadále zkoumáme potenciální dopad na naše prostředí.“
Jak hackeři získali přístup?
GoDaddy neposkytl žádné informace o tom, jak hackeři získali přístup k přihlašovacím údajům SSH.GoDaddy však poslal e-mail napadeným zákazníkům s oznámením, že jejich hesla byla resetována.
Citace
Přečtěte si e-mail GoDaddy dotčeným zákazníkům podaný u kalifornského ministerstva spravedlnosti
Dokument PDF lze stáhnout z kalifornského ministerstva spravedlnosti: SSH Email for Customers
Další zdroje
- Jak bezpečnost webových stránek ovlivňuje vaše SEO?
- HTTP nebo HTTPS?Proč potřebujete bezpečný web
