Sitemap

Violation d'hébergement GoDaddy non détectée pendant 6 mois

GoDaddy envoie des avis aux clients pour les alerter d'une violation de la sécurité de l'hébergement.La faille de sécurité est décrite en termes vagues par GoDaddy comme une personne obtenant des informations de connexion qui auraient pu donner au pirate la possibilité de télécharger ou de modifier des fichiers de site Web.

GoDaddy Hosting compromis pendant six mois

Selon le ministère de la Justice de Californie, la faille de sécurité s'est produite le 19 octobre 2019 et a été signalée environ six mois plus tard, le 3 mai 2020.

Capture d'écran de la page Web du ministère de la Justice de l'État de Californie pour les annonces de failles de sécurité.

Violation de l'accès SSH

SSH est connu sous le nom de Secure Shell.C'est un protocole sécurisé utilisé pour exécuter des commandes sur un serveur ainsi que pour télécharger et modifier des fichiers.

Si un attaquant dispose d'un accès SSH à un site Web, le site Web est compromis.

En général, seuls les utilisateurs de niveau administrateur doivent avoir un accès SSH en raison des modifications importantes qui peuvent être apportées aux fichiers principaux d'un site Web.

GoDaddy a annoncé qu'un attaquant inconnu avait compromis certains de leurs serveurs.

Déclaration officielle par e-mail de GoDaddy :

"L'enquête a révélé qu'une personne non autorisée avait accès à vos informations de connexion utilisées pour se connecter à SSH sur votre compte d'hébergement."

Comment SSH a-t-il été compromis ?

Selon GoDaddy, la compromission dans SSH a commencé en octobre 2019 et a été découverte en avril 2020.

Au-delà de la déclaration générale du moment où la violation s'est produite et qu'elle avait quelque chose à voir avec SSH, GoDaddy ne semble pas avoir divulgué d'autres informations.

  • GoDaddy ne dit pas s'il s'agit d'une nouvelle vulnérabilité.
  • GoDaddy n'a pas précisé s'il s'agissait d'une vulnérabilité connue d'octobre 2019 qui n'avait pas été corrigée.

La seule chose que GoDaddy a admise, c'est que les serveurs ont été compromis par un tiers en octobre 2019 et qu'ils n'ont pas été détectés pendant six mois.

Vulnérabilité SSH d'octobre

Une recherche de vulnérabilités SSH montre qu'une vulnérabilité grave a été découverte dans OpenSSH 7.7 à 7.9 et toutes les versions d'OpenSSH 8 jusqu'à 8.1.

La vulnérabilité dans OpenSSH a été corrigée le 10/09/2019 dans la version 8.1.Cette date coïncide avec la date d'octobre 2019 que GoDaddy a confirmée comme la date à laquelle leurs serveurs d'hébergement ont été compromis.

GoDaddy n'a pas confirmé si ce qui précède est la vulnérabilité.

Le rapport est déposé dans le rapport CVE-2019-16905 de la base de données nationale sur les vulnérabilités du gouvernement des États-Unis.

Mais la vulnérabilité a été découverte et décrite par SecuriTeam où ils ont une divulgation complète.

Voici la description de SecuriTeam :

"Si un attaquant génère un état où 'aadlen' + 'encrypted_len' est plus grand que INT_MAX, alors il est possible de réussir la vérification...

Toute fonctionnalité OpenSSH capable d'analyser une clé XMSS privée est vulnérable. »

Si ce qui précède est la vulnérabilité SSH affectant GoDaddy, qui, selon GoDaddy, a commencé en octobre 2019, cela peut signifier que la personne chargée de la maintenance des serveurs GoDaddy n'a pas mis à jour la vulnérabilité et que les serveurs n'ont pas été corrigés jusqu'en avril 2020.

Mais nous n'avons aucun moyen de savoir avec certitude ce qui s'est passé.GoDaddy n'a pas expliqué pourquoi la faille de sécurité n'a pas été détectée pendant six mois.

GoDaddy omet les détails de l'exploit

GoDaddy n'a pas précisé quelle était la vulnérabilité.GoDaddy n'a pas précisé s'il s'agit d'une nouvelle vulnérabilité ou s'il s'agit de celle d'octobre 2019 décrite ci-dessus.

GoDaddy n'a pas indiqué si des sites ont vu leurs fichiers modifiés.

Selon un rapport de Threatpost, cette faille de sécurité a touché 28 000 comptes d'hébergement.

GoDaddy réinitialise les mots de passe

GoDaddy a envoyé un e-mail aux clients concernés pour les informer que leurs mots de passe ont été modifiés.L'e-mail contient un lien vers les procédures à suivre pour réinitialiser le mot de passe.

Combien de sites hébergés par GoDaddy ont été piratés ?

GoDaddy n'a pas indiqué si des sites Web avaient été piratés.L'e-mail envoyé aux clients indiquait que GoDaddy avait détecté une "activité suspecte" sur les serveurs de leurs clients.

Selon GoDaddy :

"L'enquête a révélé qu'une personne non autorisée avait accès à vos informations de connexion utilisées pour se connecter à SSH sur votre compte d'hébergement.

Nous n'avons aucune preuve que des fichiers ont été ajoutés ou modifiés sur votre compte.L'individu non autorisé a été bloqué de nos systèmes, et nous continuons à étudier l'impact potentiel sur notre environnement.

Comment les pirates ont-ils obtenu l'accès ?

GoDaddy n'a donné aucune information sur la façon dont les pirates ont obtenu l'accès aux identifiants de connexion SSH.Cependant, GoDaddy a envoyé un e-mail aux clients compromis les informant que leurs mots de passe ont été réinitialisés.

Citation

Lisez l'e-mail de GoDaddy aux clients concernés, déposé auprès du ministère de la Justice de Californie

Le document PDF peut être téléchargé à partir du California Department of Justice : SSH Email for Customers

Davantage de ressources

  1. Comment la sécurité du site Web affecte-t-elle votre référencement ?
  2. HTTP ou HTTPS ?Pourquoi avez-vous besoin d'un site sécurisé