Sitemap

Η παραβίαση φιλοξενίας GoDaddy δεν εντοπίστηκε για 6 μήνες

Η GoDaddy στέλνει ειδοποιήσεις στους πελάτες για να τους ειδοποιήσει για παραβίαση της ασφάλειας φιλοξενίας.Η παραβίαση ασφαλείας περιγράφεται με αόριστους όρους από την GoDaddy ως άτομο που λαμβάνει πληροφορίες σύνδεσης που θα μπορούσαν να έχουν δώσει στον χάκερ τη δυνατότητα να ανεβάσει ή να αλλάξει αρχεία ιστότοπου.

Η φιλοξενία GoDaddy παραβιάστηκε για έξι μήνες

Σύμφωνα με το Υπουργείο Δικαιοσύνης της Καλιφόρνια, η παραβίαση ασφαλείας σημειώθηκε στις 19 Οκτωβρίου 2019 και αναφέρθηκε περίπου έξι μήνες αργότερα, στις 3 Μαΐου 2020.

Στιγμιότυπο από την ιστοσελίδα του Υπουργείου Δικαιοσύνης της Πολιτείας της Καλιφόρνια για ανακοινώσεις παραβίασης ασφάλειας.

Παραβίαση πρόσβασης SSH

Το SSH είναι γνωστό ως Secure Shell.Είναι ένα ασφαλές πρωτόκολλο που χρησιμοποιείται για την εκτέλεση εντολών σε έναν διακομιστή καθώς και για τη μεταφόρτωση και την αλλαγή αρχείων.

Εάν ένας εισβολέας έχει πρόσβαση SSH σε έναν ιστότοπο, ο ιστότοπος παραβιάζεται.

Σε γενικές γραμμές, μόνο οι χρήστες σε επίπεδο διαχειριστή θα πρέπει να έχουν πρόσβαση SSH λόγω των ευρείας κλίμακας αλλαγών που μπορούν να γίνουν στα βασικά αρχεία ενός ιστότοπου.

Η GoDaddy ανακοίνωσε ότι ένας άγνωστος εισβολέας είχε παραβιάσει ορισμένους από τους διακομιστές τους.

Επίσημη δήλωση ηλεκτρονικού ταχυδρομείου GoDaddy:

"Η έρευνα διαπίστωσε ότι ένα μη εξουσιοδοτημένο άτομο είχε πρόσβαση στα στοιχεία σύνδεσής σας που χρησιμοποιήθηκαν για τη σύνδεση στο SSH στον λογαριασμό φιλοξενίας σας."

Πώς παραβιάστηκε το SSH;

Σύμφωνα με το GoDaddy, ο συμβιβασμός στο SSH ξεκίνησε τον Οκτώβριο του 2019 και ανακαλύφθηκε τον Απρίλιο του 2020.

Πέρα από τη γενική δήλωση για το πότε συνέβη η παραβίαση και ότι είχε σχέση με το SSH, η GoDaddy δεν φαίνεται να έχει αποκαλύψει περισσότερες πληροφορίες.

  • Η GoDaddy δεν λέει εάν πρόκειται για μια νέα ευπάθεια.
  • Η GoDaddy δεν είπε εάν προήλθε από μια γνωστή ευπάθεια από τον Οκτώβριο του 2019 που δεν είχε επιδιορθωθεί.

Το μόνο πράγμα που παραδέχτηκε η GoDaddy ήταν ότι οι διακομιστές παραβιάστηκαν από τρίτο μέρος τον Οκτώβριο του 2019 και δεν ανιχνεύτηκε για έξι μήνες.

Ευπάθεια SSH Οκτωβρίου

Μια αναζήτηση για τρωτά σημεία SSH δείχνει ότι μια σοβαρή ευπάθεια ανακαλύφθηκε στο OpenSSH 7.7 έως 7.9 και σε όλες τις εκδόσεις του OpenSSH 8 έως 8.1.

Η ευπάθεια στο OpenSSH διορθώθηκε στις 10/09/2019 στην έκδοση 8.1.Αυτή η ημερομηνία συμπίπτει με την ημερομηνία Οκτωβρίου 2019 που η GoDaddy επιβεβαίωσε ως την ημερομηνία κατά την οποία οι διακομιστές φιλοξενίας τους παραβιάστηκαν.

Η GoDaddy δεν έχει επιβεβαιώσει εάν το παραπάνω είναι το θέμα ευπάθειας.

Η αναφορά έχει καταχωρηθεί στην αναφορά CVE-2019-16905 της εθνικής βάσης δεδομένων ευπάθειας της κυβέρνησης των Ηνωμένων Πολιτειών

Αλλά η ευπάθεια ανακαλύφθηκε και περιγράφηκε από την SecuriTeam όπου έχει πλήρη αποκάλυψη.

Αυτή είναι η περιγραφή της SecuriTeam:

"Εάν ένας εισβολέας δημιουργήσει μια κατάσταση όπου το "aadlen" + "encrypted_len" είναι μεγαλύτερο από το INT_MAX, τότε είναι δυνατό να περάσει επιτυχώς η επαλήθευση…

Οποιαδήποτε λειτουργικότητα OpenSSH που μπορεί να αναλύσει το ιδιωτικό κλειδί XMSS είναι ευάλωτη."

Εάν το παραπάνω είναι το θέμα ευπάθειας SSH που επηρεάζει το GoDaddy, το οποίο η GoDaddy λέει ότι ξεκίνησε τον Οκτώβριο του 2019, τότε αυτό μπορεί να σημαίνει ότι όποιος ήταν υπεύθυνος για τη συντήρηση των διακομιστών GoDaddy απέτυχε να ενημερώσει την ευπάθεια και οι διακομιστές δεν επιδιορθώθηκαν μέχρι τον Απρίλιο του 2020.

Αλλά δεν έχουμε τρόπο να μάθουμε με βεβαιότητα τι συνέβη.Η GoDaddy δεν περιέγραψε γιατί η παραβίαση ασφαλείας παρέμεινε απαρατήρητη για έξι μήνες.

Το GoDaddy παραλείπει τις λεπτομέρειες του Exploit

Η GoDaddy δεν είπε ποια ήταν η ευπάθεια.Η GoDaddy δεν είπε εάν πρόκειται για μια νέα ευπάθεια ή εάν είναι αυτή του Οκτωβρίου 2019 που περιγράφεται παραπάνω.

Η GoDaddy δεν έδειξε εάν άλλαξαν τα αρχεία τους σε κάποιους ιστότοπους.

Σύμφωνα με μια αναφορά στο Threatpost, αυτή η παραβίαση ασφαλείας επηρέασε 28.000 λογαριασμούς φιλοξενίας.

Το GoDaddy επαναφέρει τους κωδικούς πρόσβασης

Η GoDaddy έστειλε ένα email στους επηρεαζόμενους πελάτες για να τους ενημερώσει ότι οι κωδικοί πρόσβασής τους έχουν αλλάξει.Το email έχει έναν σύνδεσμο για τις διαδικασίες που πρέπει να ακολουθήσετε για να επαναφέρετε τον κωδικό πρόσβασης.

Πόσοι ιστότοποι που φιλοξενούνται στο GoDaddy έχουν παραβιαστεί;

Το GoDaddy δεν έδειξε εάν κάποιοι ιστότοποι είχαν παραβιαστεί.Το email που στάλθηκε στους πελάτες ανέφερε ότι η GoDaddy είχε εντοπίσει «ύποπτη δραστηριότητα» στους διακομιστές των πελατών τους.

Σύμφωνα με το GoDaddy:

«Η έρευνα διαπίστωσε ότι ένα μη εξουσιοδοτημένο άτομο είχε πρόσβαση στα στοιχεία σύνδεσής σας που χρησιμοποιήθηκαν για τη σύνδεση στο SSH στον λογαριασμό φιλοξενίας σας.

Δεν έχουμε αποδείξεις ότι έχουν προστεθεί ή τροποποιηθεί αρχεία στον λογαριασμό σας.Το μη εξουσιοδοτημένο άτομο έχει αποκλειστεί από τα συστήματά μας και συνεχίζουμε να διερευνούμε πιθανές επιπτώσεις στο περιβάλλον μας.»

Πώς απέκτησαν πρόσβαση οι χάκερ;

Η GoDaddy δεν έδωσε πληροφορίες σχετικά με τον τρόπο με τον οποίο οι χάκερ απέκτησαν πρόσβαση στα διαπιστευτήρια σύνδεσης SSH.Ωστόσο, η GoDaddy έστειλε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε παραβιασμένους πελάτες ειδοποιώντας τους ότι οι κωδικοί πρόσβασής τους επαναφέρθηκαν.

Παραπομπή

Διαβάστε το μήνυμα ηλεκτρονικού ταχυδρομείου GoDaddy στους επηρεαζόμενους πελάτες, που υποβλήθηκαν στο Υπουργείο Δικαιοσύνης της Καλιφόρνια

Το έγγραφο PDF μπορεί να ληφθεί από το Υπουργείο Δικαιοσύνης της Καλιφόρνια: Email SSH για πελάτες

Περισσότεροι πόροι

  1. Πώς επηρεάζει η ασφάλεια του ιστότοπου το SEO σας;
  2. HTTP ή HTTPS;Γιατί χρειάζεστε έναν ασφαλή ιστότοπο