Gyors navigáció
- A GoDaddy Hosting hat hónapra veszélybe került
- SSH hozzáférés megsértése
- Hivatalos GoDaddy e-mail nyilatkozat:
- Hogyan került veszélybe az SSH?
- Októberi SSH sebezhetőség
- A GoDaddy kihagyja az Exploit részleteit
- A GoDaddy visszaállítja a jelszavakat
- Hány GoDaddy által üzemeltetett webhelyet törtek fel?
- Hogyan jutottak hozzá a hackerek?
- Idézet
A GoDaddy értesítéseket küld az ügyfeleknek, hogy figyelmeztesse őket a tárhely biztonságának megsértésére.A biztonsági megsértést a GoDaddy homályosan írja le, mint egy egyént, aki olyan bejelentkezési információkat szerzett meg, amelyek révén a hacker képes lett volna webhelyfájlok feltöltésére vagy módosítására.
A GoDaddy Hosting hat hónapra veszélybe került
A kaliforniai igazságügyi minisztérium szerint a biztonság megsértése 2019. október 19-én történt, és körülbelül hat hónappal később, 2020. május 3-án jelentették.
Képernyőkép Kalifornia állam Igazságügyi Minisztériumának weboldaláról a biztonság megsértéséről szóló bejelentésekhez.
SSH hozzáférés megsértése
Az SSH Secure Shell néven ismert.Ez egy biztonságos protokoll, amelyet parancsok végrehajtására használnak a szerveren, valamint fájlok feltöltéséhez és módosításához.
Ha egy támadó SSH-hozzáféréssel rendelkezik egy webhelyhez, akkor a webhely feltört.
Általában csak adminisztrátori szintű felhasználóknak kell SSH-hozzáféréssel rendelkezniük a webhelyek alapvető fájljain végrehajtható széles körű módosítások miatt.
GoDaddy bejelentette, hogy egy ismeretlen támadó feltörte néhány szerverüket.
Hivatalos GoDaddy e-mail nyilatkozat:
"A vizsgálat megállapította, hogy egy illetéktelen személy hozzáfért az Ön tárhelyfiókjában az SSH-hoz való csatlakozáshoz használt bejelentkezési adataihoz."
Hogyan került veszélybe az SSH?
A GoDaddy szerint az SSH kompromisszuma 2019 októberében kezdődött, és 2020 áprilisában fedezték fel.
Azon az általános kijelentésen túl, hogy mikor történt a jogsértés, és hogy valami köze van az SSH-hoz, úgy tűnik, hogy a GoDaddy semmilyen további információt nem közölt.
- A GoDaddy nem mondja meg, hogy ez új biztonsági rés-e.
- A GoDaddy nem árulta el, hogy egy 2019. októberi ismert sérülékenység okozta-e a javítást.
Az egyetlen dolog, amit GoDaddy elismert, az az volt, hogy 2019 októberében egy harmadik fél feltörte a szervereket, és ez hat hónapig észrevétlen maradt.
Októberi SSH sebezhetőség
Az SSH sebezhetőségeinek keresése azt mutatja, hogy súlyos biztonsági rést fedeztek fel az OpenSSH 7.7–7.9 és az OpenSSH 8 összes verziójában 8.1-ig.
Az OpenSSH biztonsági rését 2019.10.09-én javították a 8.1-es verzióban.Ez a dátum egybeesik azzal a 2019 októberi dátummal, amelyet a GoDaddy megerősített a tárhelyszerverek veszélyeztetésének dátumaként.
A GoDaddy nem erősítette meg, hogy a fenti a biztonsági rés.
A jelentést az Egyesült Államok kormányának nemzeti sebezhetőségi adatbázisának CVE-2019-16905 jelentésében nyújtották be.
De a sebezhetőséget a SecuriTeam fedezte fel és írta le, ahol teljes körű tájékoztatást ad.
Ez a SecuriTeam leírása:
„Ha egy támadó olyan állapotot generál, amelyben az „aadlen” + „encrypted_len” nagyobb, mint INT_MAX, akkor lehetséges az ellenőrzés sikeres átadása…
Minden OpenSSH-funkció, amely képes elemezni a privát XMSS-kulcsot, sebezhető.”
Ha a fenti a GoDaddyt érintő SSH-sebezhetőség, amely GoDaddy szerint 2019 októberében kezdődött, akkor ez azt jelentheti, hogy aki a GoDaddy-kiszolgálók karbantartásáért volt felelős, az nem frissítette a sebezhetőséget, és a kiszolgálók 2020 áprilisáig nem voltak javítva.
De nem tudhatjuk biztosan, mi történt.GoDaddy nem írta le, hogy a biztonsági rést miért nem észlelték hat hónapig.
A GoDaddy kihagyja az Exploit részleteit
GoDaddy nem mondta el, mi a sebezhetőség.A GoDaddy nem közölte, hogy ez egy új biztonsági rés, vagy a fent leírt 2019 októberi biztonsági rés.
A GoDaddy nem jelezte, hogy valamelyik webhely fájlja megváltozott-e.
A Threatpost jelentése szerint ez a biztonsági incidens 28 000 tárhelyfiókot érintett.
A GoDaddy visszaállítja a jelszavakat
A GoDaddy e-mailt küldött az érintett ügyfeleknek, hogy értesítse őket, hogy jelszavaikat megváltoztatták.Az e-mailben található egy hivatkozás a jelszó visszaállításához követendő eljárásokra.
Hány GoDaddy által üzemeltetett webhelyet törtek fel?
A GoDaddy nem jelezte, ha feltörtek egy webhelyet.Az ügyfeleknek küldött e-mailben az állt, hogy a GoDaddy „gyanús tevékenységet” észlelt az ügyfelek szerverein.
GoDaddy szerint:
„A vizsgálat megállapította, hogy egy illetéktelen személy hozzáfért az Ön bejelentkezési adataihoz, amelyet az SSH-hoz való csatlakozáshoz használt tárhelyfiókjában.
Nincs bizonyítékunk arra, hogy bármilyen fájlt hozzáadtak vagy módosítottak volna fiókjában.Az illetéktelen személyt letiltottuk rendszereinkből, és folytatjuk a környezetünkre gyakorolt lehetséges hatások vizsgálatát.”
Hogyan jutottak hozzá a hackerek?
A GoDaddy nem adott információt arról, hogy a hackerek hogyan jutottak hozzá az SSH bejelentkezési adataihoz.A GoDaddy azonban e-mailt küldött a feltört ügyfeleknek, amelyben értesítette őket, hogy jelszavaikat visszaállították.
Idézet
Olvassa el a kaliforniai igazságügyi minisztériumhoz benyújtott GoDaddy e-mailt az érintett ügyfeleknek
A PDF-dokumentum letölthető a Kaliforniai Igazságügyi Minisztériumtól: SSH Email for Customers
További források
- Hogyan hat a webhelybiztonság a SEO-jára?
- HTTP vagy HTTPS?Miért van szüksége biztonságos webhelyre?
