Sitemap

A GoDaddy tárhely megsértése 6 hónapig nem észlelhető

A GoDaddy értesítéseket küld az ügyfeleknek, hogy figyelmeztesse őket a tárhely biztonságának megsértésére.A biztonsági megsértést a GoDaddy homályosan írja le, mint egy egyént, aki olyan bejelentkezési információkat szerzett meg, amelyek révén a hacker képes lett volna webhelyfájlok feltöltésére vagy módosítására.

A GoDaddy Hosting hat hónapra veszélybe került

A kaliforniai igazságügyi minisztérium szerint a biztonság megsértése 2019. október 19-én történt, és körülbelül hat hónappal később, 2020. május 3-án jelentették.

Képernyőkép Kalifornia állam Igazságügyi Minisztériumának weboldaláról a biztonság megsértéséről szóló bejelentésekhez.

SSH hozzáférés megsértése

Az SSH Secure Shell néven ismert.Ez egy biztonságos protokoll, amelyet parancsok végrehajtására használnak a szerveren, valamint fájlok feltöltéséhez és módosításához.

Ha egy támadó SSH-hozzáféréssel rendelkezik egy webhelyhez, akkor a webhely feltört.

Általában csak adminisztrátori szintű felhasználóknak kell SSH-hozzáféréssel rendelkezniük a webhelyek alapvető fájljain végrehajtható széles körű módosítások miatt.

GoDaddy bejelentette, hogy egy ismeretlen támadó feltörte néhány szerverüket.

Hivatalos GoDaddy e-mail nyilatkozat:

"A vizsgálat megállapította, hogy egy illetéktelen személy hozzáfért az Ön tárhelyfiókjában az SSH-hoz való csatlakozáshoz használt bejelentkezési adataihoz."

Hogyan került veszélybe az SSH?

A GoDaddy szerint az SSH kompromisszuma 2019 októberében kezdődött, és 2020 áprilisában fedezték fel.

Azon az általános kijelentésen túl, hogy mikor történt a jogsértés, és hogy valami köze van az SSH-hoz, úgy tűnik, hogy a GoDaddy semmilyen további információt nem közölt.

  • A GoDaddy nem mondja meg, hogy ez új biztonsági rés-e.
  • A GoDaddy nem árulta el, hogy egy 2019. októberi ismert sérülékenység okozta-e a javítást.

Az egyetlen dolog, amit GoDaddy elismert, az az volt, hogy 2019 októberében egy harmadik fél feltörte a szervereket, és ez hat hónapig észrevétlen maradt.

Októberi SSH sebezhetőség

Az SSH sebezhetőségeinek keresése azt mutatja, hogy súlyos biztonsági rést fedeztek fel az OpenSSH 7.7–7.9 és az OpenSSH 8 összes verziójában 8.1-ig.

Az OpenSSH biztonsági rését 2019.10.09-én javították a 8.1-es verzióban.Ez a dátum egybeesik azzal a 2019 októberi dátummal, amelyet a GoDaddy megerősített a tárhelyszerverek veszélyeztetésének dátumaként.

A GoDaddy nem erősítette meg, hogy a fenti a biztonsági rés.

A jelentést az Egyesült Államok kormányának nemzeti sebezhetőségi adatbázisának CVE-2019-16905 jelentésében nyújtották be.

De a sebezhetőséget a SecuriTeam fedezte fel és írta le, ahol teljes körű tájékoztatást ad.

Ez a SecuriTeam leírása:

„Ha egy támadó olyan állapotot generál, amelyben az „aadlen” + „encrypted_len” nagyobb, mint INT_MAX, akkor lehetséges az ellenőrzés sikeres átadása…

Minden OpenSSH-funkció, amely képes elemezni a privát XMSS-kulcsot, sebezhető.”

Ha a fenti a GoDaddyt érintő SSH-sebezhetőség, amely GoDaddy szerint 2019 októberében kezdődött, akkor ez azt jelentheti, hogy aki a GoDaddy-kiszolgálók karbantartásáért volt felelős, az nem frissítette a sebezhetőséget, és a kiszolgálók 2020 áprilisáig nem voltak javítva.

De nem tudhatjuk biztosan, mi történt.GoDaddy nem írta le, hogy a biztonsági rést miért nem észlelték hat hónapig.

A GoDaddy kihagyja az Exploit részleteit

GoDaddy nem mondta el, mi a sebezhetőség.A GoDaddy nem közölte, hogy ez egy új biztonsági rés, vagy a fent leírt 2019 októberi biztonsági rés.

A GoDaddy nem jelezte, hogy valamelyik webhely fájlja megváltozott-e.

A Threatpost jelentése szerint ez a biztonsági incidens 28 000 tárhelyfiókot érintett.

A GoDaddy visszaállítja a jelszavakat

A GoDaddy e-mailt küldött az érintett ügyfeleknek, hogy értesítse őket, hogy jelszavaikat megváltoztatták.Az e-mailben található egy hivatkozás a jelszó visszaállításához követendő eljárásokra.

Hány GoDaddy által üzemeltetett webhelyet törtek fel?

A GoDaddy nem jelezte, ha feltörtek egy webhelyet.Az ügyfeleknek küldött e-mailben az állt, hogy a GoDaddy „gyanús tevékenységet” észlelt az ügyfelek szerverein.

GoDaddy szerint:

„A vizsgálat megállapította, hogy egy illetéktelen személy hozzáfért az Ön bejelentkezési adataihoz, amelyet az SSH-hoz való csatlakozáshoz használt tárhelyfiókjában.

Nincs bizonyítékunk arra, hogy bármilyen fájlt hozzáadtak vagy módosítottak volna fiókjában.Az illetéktelen személyt letiltottuk rendszereinkből, és folytatjuk a környezetünkre gyakorolt ​​lehetséges hatások vizsgálatát.”

Hogyan jutottak hozzá a hackerek?

A GoDaddy nem adott információt arról, hogy a hackerek hogyan jutottak hozzá az SSH bejelentkezési adataihoz.A GoDaddy azonban e-mailt küldött a feltört ügyfeleknek, amelyben értesítette őket, hogy jelszavaikat visszaállították.

Idézet

Olvassa el a kaliforniai igazságügyi minisztériumhoz benyújtott GoDaddy e-mailt az érintett ügyfeleknek

A PDF-dokumentum letölthető a Kaliforniai Igazságügyi Minisztériumtól: SSH Email for Customers

További források

  1. Hogyan hat a webhelybiztonság a SEO-jára?
  2. HTTP vagy HTTPS?Miért van szüksége biztonságos webhelyre?