Sitemap

GoDaddy-hostingbrud uopdaget i 6 måneder

GoDaddy sender meddelelser til kunder for at advare dem om et hostingsikkerhedsbrud.Sikkerhedsbruddet er beskrevet i vage vendinger af GoDaddy som en person, der opnår log-in-oplysninger, der kunne have givet hackeren mulighed for at uploade eller ændre webstedsfiler.

GoDaddy Hosting kompromitteret i seks måneder

Ifølge California Department of Justice skete sikkerhedsbruddet den 19. oktober 2019 og blev rapporteret omkring seks måneder senere den 3. maj 2020.

Skærmbillede fra det amerikanske justitsministeriums webside for meddelelser om sikkerhedsbrud.

SSH Adgangsbrud

SSH er kendt som Secure Shell.Det er en sikker protokol, der bruges til at udføre kommandoer på en server samt til upload og ændring af filer.

Hvis en hacker har SSH-adgang til et websted, er webstedet kompromitteret.

Generelt bør kun brugere på administratorniveau have SSH-adgang på grund af de omfattende ændringer, der kan foretages i kernefilerne på et websted.

GoDaddy meddelte, at en ukendt angriber havde kompromitteret nogle af deres servere.

Officiel GoDaddy e-mail erklæring:

"Undersøgelsen viste, at en uautoriseret person havde adgang til dine loginoplysninger, der blev brugt til at oprette forbindelse til SSH på din hostingkonto."

Hvordan blev SSH kompromitteret?

Ifølge GoDaddy begyndte kompromiset i SSH i oktober 2019 og blev opdaget i april 2020.

Ud over den generelle erklæring om, hvornår bruddet skete, og at det havde noget at gøre med SSH, ser GoDaddy ikke ud til at have afsløret yderligere oplysninger.

  • GoDaddy siger ikke, om dette er en ny sårbarhed.
  • GoDaddy sagde ikke, om det var fra en kendt sårbarhed fra oktober 2019, der ikke var blevet rettet.

Det eneste, GoDaddy indrømmede, var, at servere blev kompromitteret af en tredjepart i oktober 2019, og det forblev uopdaget i seks måneder.

oktober SSH sårbarhed

En søgning efter SSH-sårbarheder viser, at en alvorlig sårbarhed blev opdaget i OpenSSH 7.7 til 7.9 og alle versioner af OpenSSH 8 op til 8.1.

Sårbarheden i OpenSSH blev rettet 10/09/2019 i version 8.1.Denne dato falder sammen med oktober 2019-datoen, som GoDaddy bekræftede som datoen, hvor deres hostingservere blev kompromitteret.

GoDaddy har ikke bekræftet, om ovenstående er sårbarheden.

Rapporten er indgivet til den amerikanske regerings nationale sårbarhedsdatabaserapport CVE-2019-16905

Men sårbarheden blev opdaget og beskrevet af SecuriTeam, hvor de har en fuld afsløring.

Dette er SecuriTeam-beskrivelsen:

"Hvis en angriber genererer en tilstand, hvor 'aadlen' + 'encrypted_len' er større end INT_MAX, så er det muligt at bestå verifikationen...

Enhver OpenSSH-funktionalitet, der kan parse privat XMSS-nøgle, er sårbar."

Hvis ovenstående er SSH-sårbarheden, der påvirker GoDaddy, som GoDaddy siger, begyndte i oktober 2019, så kan det betyde, at den, der var ansvarlig for at vedligeholde GoDaddy-serverne, undlod at opdatere sårbarheden, og serverne blev ikke patchet indtil april 2020.

Men vi kan ikke med sikkerhed vide, hvad der skete.GoDaddy beskrev ikke, hvorfor sikkerhedsbruddet forblev uopdaget i seks måneder.

GoDaddy udelader detaljer om udnyttelse

GoDaddy sagde ikke, hvad sårbarheden var.GoDaddy sagde ikke, om dette er en ny sårbarhed, eller om det er den fra oktober 2019 beskrevet ovenfor.

GoDaddy har ikke angivet, om nogen websteder har fået deres filer ændret.

Ifølge en rapport i Threatpost påvirkede dette sikkerhedsbrud 28.000 hostingkonti.

GoDaddy nulstiller adgangskoder

GoDaddy sendte en e-mail til berørte kunder for at fortælle dem, at deres adgangskoder er blevet ændret.E-mailen har et link til de procedurer, der skal følges for at nulstille adgangskoden.

Hvor mange GoDaddy-hostede websteder er hacket?

GoDaddy angav ikke, om nogen hjemmesider blev hacket.E-mailen sendt til kunderne sagde, at GoDaddy havde opdaget "mistænkelig aktivitet" på deres kunders servere.

Ifølge GoDaddy:

"Undersøgelsen viste, at en uautoriseret person havde adgang til dine loginoplysninger, der blev brugt til at oprette forbindelse til SSH på din hostingkonto.

Vi har ingen beviser for, at nogen filer er blevet tilføjet eller ændret på din konto.Den uautoriserede person er blevet blokeret fra vores systemer, og vi fortsætter med at undersøge potentielle påvirkninger på tværs af vores miljø."

Hvordan fik hackere adgang?

GoDaddy gav ingen oplysninger om, hvordan hackerne fik adgang til SSH-loginoplysninger.Men GoDaddy sendte en e-mail til kompromitterede kunder med besked om, at deres adgangskoder er blevet nulstillet.

Citation

Læs GoDaddy-e-mail til berørte kunder, indgivet til California Department of Justice

PDF-dokument kan downloades fra California Department of Justice: SSH Email for Customers

Flere ressourcer

  1. Hvordan påvirker webstedssikkerhed din SEO?
  2. HTTP eller HTTPS?Hvorfor du har brug for et sikkert websted