Sitemap

Porušení hostingu GoDaddy nezjištěno po dobu 6 měsíců

GoDaddy zasílá zákazníkům upozornění, aby je upozornila na narušení bezpečnosti hostingu.Narušení bezpečnosti popisuje GoDaddy vágně jako jednotlivec, který získává přihlašovací údaje, které by mohly hackerovi poskytnout možnost nahrávat nebo měnit soubory webových stránek.

Hosting GoDaddy kompromitován na šest měsíců

Podle kalifornského ministerstva spravedlnosti k narušení bezpečnosti došlo 19. října 2019 a bylo nahlášeno asi o šest měsíců později 3. května 2020.

Snímek obrazovky z webové stránky ministerstva spravedlnosti státu Kalifornie pro oznámení o narušení bezpečnosti.

Porušení přístupu SSH

SSH je známý jako Secure Shell.Je to zabezpečený protokol používaný k provádění příkazů na serveru a také k nahrávání a změně souborů.

Pokud má útočník k webu přístup SSH, web je kompromitován.

Obecně platí, že pouze uživatelé na úrovni správce by měli mít přístup SSH kvůli rozsáhlým změnám, které lze provést v základních souborech webu.

GoDaddy oznámil, že neznámý útočník kompromitoval některé z jejich serverů.

Oficiální e-mailové prohlášení GoDaddy:

"Šetřením bylo zjištěno, že neoprávněná osoba měla přístup k vašim přihlašovacím údajům používaným k připojení k SSH na vašem hostitelském účtu."

Jak bylo ohroženo SSH?

Podle GoDaddy, kompromis v SSH začal v říjnu 2019 a byl objeven v dubnu 2020.

Kromě obecného prohlášení o tom, kdy k porušení došlo a že to mělo něco společného s SSH, nezdá se, že by GoDaddy zveřejnil žádné další informace.

  • GoDaddy neříká, zda se jedná o novou zranitelnost.
  • GoDaddy neuvedl, zda to bylo ze známé zranitelnosti z října 2019, která byla neopravena.

Jediné, co GoDaddy připustil, bylo, že servery byly v říjnu 2019 kompromitovány třetí stranou a po dobu šesti měsíců to zůstalo nezjištěno.

Říjen Zranitelnost SSH

Hledání zranitelností SSH ukazuje, že závažná zranitelnost byla objevena v OpenSSH 7.7 až 7.9 a všech verzích OpenSSH 8 až 8.1.

Chyba zabezpečení v OpenSSH byla opravena 10.09.2019 ve verzi 8.1.Toto datum se shoduje s datem října 2019, které společnost GoDaddy potvrdila jako datum, kdy byly kompromitovány jejich hostitelské servery.

GoDaddy nepotvrdil, zda se jedná o chybu zabezpečení výše uvedenou.

Zpráva je uložena ve zprávě Národní databáze zranitelnosti vlády Spojených států CVE-2019-16905

Ale zranitelnost byla objevena a popsána společností SecuriTeam, kde má úplné odhalení.

Toto je popis SecuriTeamu:

„Pokud útočník vygeneruje stav, kdy je ‚aadlen‘ + ‚encrypted_len‘ větší než INT_MAX, pak je možné úspěšně projít ověřením…

Jakákoli funkce OpenSSH, která dokáže analyzovat soukromý klíč XMSS, je zranitelná.“

Pokud se výše uvedené týká zranitelnosti SSH ovlivňující GoDaddy, o které GoDaddy říká, že začala v říjnu 2019, pak to může znamenat, že ten, kdo měl na starosti údržbu serverů GoDaddy, zranitelnost neaktualizoval a servery byly do dubna 2020 neopraveny.

Ale nemůžeme s jistotou vědět, co se stalo.GoDaddy nepopsal, proč bylo narušení bezpečnosti šest měsíců nezjištěno.

GoDaddy vynechává podrobnosti o Exploitu

GoDaddy neřekl, o jakou zranitelnost jde.GoDaddy neuvedl, zda se jedná o novou zranitelnost, nebo zda jde o zranitelnost z října 2019 popsanou výše.

GoDaddy neuvedl, zda některé weby změnily své soubory.

Podle zprávy v Threatpost se toto narušení bezpečnosti dotklo 28 000 hostingových účtů.

GoDaddy resetuje hesla

GoDaddy poslal e-mail dotčeným zákazníkům, aby jim oznámil, že jejich hesla byla změněna.E-mail obsahuje odkaz na postupy, které je třeba dodržet při resetování hesla.

Kolik webů hostovaných GoDaddy bylo hacknuto?

GoDaddy neuvedl, zda byly nějaké webové stránky hacknuty.V e-mailu zaslaném zákazníkům bylo uvedeno, že GoDaddy zjistil „podezřelou aktivitu“ na serverech jejich zákazníků.

Podle GoDaddyho:

„Šetřením bylo zjištěno, že neoprávněná osoba měla přístup k vašim přihlašovacím údajům používaným k připojení k SSH na vašem hostingovém účtu.

Nemáme žádné důkazy o tom, že by na váš účet byly přidány nebo upraveny nějaké soubory.Neoprávněná osoba byla z našich systémů zablokována a nadále zkoumáme potenciální dopad na naše prostředí.“

Jak hackeři získali přístup?

GoDaddy neposkytl žádné informace o tom, jak hackeři získali přístup k přihlašovacím údajům SSH.GoDaddy však poslal e-mail napadeným zákazníkům s oznámením, že jejich hesla byla resetována.

Citace

Přečtěte si e-mail GoDaddy dotčeným zákazníkům podaný u kalifornského ministerstva spravedlnosti

Dokument PDF lze stáhnout z kalifornského ministerstva spravedlnosti: SSH Email for Customers

Další zdroje

  1. Jak bezpečnost webových stránek ovlivňuje vaše SEO?
  2. HTTP nebo HTTPS?Proč potřebujete bezpečný web