Sitemap

Pelanggaran Hosting GoDaddy Tidak Terdeteksi Selama 6 Bulan

GoDaddy mengirimkan pemberitahuan kepada pelanggan untuk memperingatkan mereka tentang pelanggaran keamanan hosting.Pelanggaran keamanan dijelaskan secara samar oleh GoDaddy sebagai individu yang memperoleh informasi masuk yang dapat memberi peretas kemampuan untuk mengunggah atau mengubah file situs web.

Hosting GoDaddy Disusupi Selama Enam Bulan

Menurut Departemen Kehakiman California, pelanggaran keamanan terjadi pada 19 Oktober 2019 dan dilaporkan sekitar enam bulan kemudian pada 3 Mei 2020.

Tangkapan layar dari halaman web Departemen Kehakiman Negara Bagian California untuk pengumuman pelanggaran keamanan.

Pelanggaran Akses SSH

SSH dikenal sebagai Shell Aman.Ini adalah protokol aman yang digunakan untuk menjalankan perintah di server juga untuk mengunggah dan mengubah file.

Jika penyerang memiliki akses SSH ke situs web, situs web tersebut disusupi.

Secara umum, hanya pengguna tingkat admin yang boleh memiliki akses SSH karena banyaknya perubahan yang dapat dilakukan pada file inti situs web.

GoDaddy mengumumkan bahwa penyerang tak dikenal telah menyusup ke beberapa server mereka.

Pernyataan email resmi GoDaddy:

“Penyelidikan menemukan bahwa individu yang tidak berwenang memiliki akses ke informasi login Anda yang digunakan untuk terhubung ke SSH di akun hosting Anda.”

Bagaimana SSH Dikompromikan?

Menurut GoDaddy, kompromi dalam SSH dimulai pada Oktober 2019 dan ditemukan pada April 2020.

Di luar pernyataan umum tentang kapan pelanggaran itu terjadi dan bahwa itu ada hubungannya dengan SSH, GoDaddy tampaknya tidak mengungkapkan informasi lebih lanjut.

  • GoDaddy tidak mengatakan apakah ini kerentanan baru.
  • GoDaddy tidak mengatakan apakah itu berasal dari kerentanan yang diketahui dari Oktober 2019 yang tidak ditambal.

Satu-satunya hal yang diakui GoDaddy adalah bahwa server telah disusupi oleh pihak ketiga pada Oktober 2019 dan tidak terdeteksi selama enam bulan.

Kerentanan SSH Oktober

Pencarian kerentanan SSH menunjukkan bahwa kerentanan parah ditemukan di OpenSSH 7.7 hingga 7.9 dan semua versi OpenSSH 8 hingga 8.1.

Kerentanan di OpenSSH telah diperbaiki 10/09/2019 di versi 8.1.Tanggal tersebut bertepatan dengan tanggal Oktober 2019 yang dikonfirmasi oleh GoDaddy sebagai tanggal saat server hosting mereka disusupi.

GoDaddy belum mengonfirmasi apakah yang di atas adalah kerentanan.

Laporan tersebut diajukan di laporan Database Kerentanan Nasional Pemerintah Amerika Serikat CVE-2019-16905

Tetapi kerentanan ditemukan dan dijelaskan oleh SecuriTeam di mana mereka memiliki pengungkapan penuh.

Ini adalah deskripsi SecuriTeam:

“Jika penyerang menghasilkan status di mana 'aadlen' + 'encrypted_len' lebih besar dari INT_MAX, maka dimungkinkan untuk berhasil melewati verifikasi…

Fungsionalitas OpenSSH apa pun yang dapat mengurai kunci XMSS pribadi adalah rentan.”

Jika hal di atas adalah kerentanan SSH yang memengaruhi GoDaddy, yang menurut GoDaddy dimulai pada Oktober 2019, maka itu mungkin berarti siapa pun yang bertanggung jawab atas pemeliharaan server GoDaddy gagal memperbarui kerentanan dan server tidak ditambal hingga April 2020.

Tapi kita tidak punya cara untuk mengetahui dengan pasti apa yang terjadi.GoDaddy tidak menjelaskan mengapa pelanggaran keamanan tidak terdeteksi selama enam bulan.

GoDaddy Menghilangkan Detail Eksploitasi

GoDaddy tidak mengatakan apa kerentanannya.GoDaddy tidak mengatakan apakah ini kerentanan baru atau dari Oktober 2019 yang dijelaskan di atas.

GoDaddy tidak menunjukkan apakah ada situs yang filenya telah diubah.

Menurut sebuah laporan di Threatpost, pelanggaran keamanan ini memengaruhi 28.000 akun hosting.

GoDaddy Mengatur Ulang Kata Sandi

GoDaddy mengirim email ke pelanggan yang terpengaruh untuk memberi tahu mereka bahwa kata sandi mereka telah diubah.Email tersebut memiliki tautan ke prosedur yang harus diikuti untuk mengatur ulang kata sandi.

Berapa Banyak Situs yang Diinangi GoDaddy yang Diretas?

GoDaddy tidak menunjukkan jika ada situs web yang diretas.Email yang dikirim ke pelanggan mengatakan bahwa GoDaddy telah mendeteksi "aktivitas mencurigakan" di server pelanggan mereka.

Menurut GoDaddy:

“Penyelidikan menemukan bahwa individu yang tidak berwenang memiliki akses ke informasi login Anda yang digunakan untuk terhubung ke SSH di akun hosting Anda.

Kami tidak memiliki bukti bahwa ada file yang ditambahkan atau diubah di akun Anda.Individu yang tidak berwenang telah diblokir dari sistem kami, dan kami terus menyelidiki potensi dampak di lingkungan kami.”

Bagaimana Peretas Mendapatkan Akses?

GoDaddy tidak memberikan informasi tentang bagaimana peretas memperoleh akses ke kredensial masuk SSH.Namun GoDaddy mengirim email ke pelanggan yang disusupi yang memberi tahu mereka bahwa kata sandi mereka telah disetel ulang.

Kutipan

Baca Email GoDaddy kepada pelanggan yang terpengaruh, yang diajukan ke Departemen Kehakiman California

Dokumen PDF dapat diunduh dari Departemen Kehakiman California: Email SSH untuk Pelanggan

Lebih Banyak Sumber Daya

  1. Bagaimana Keamanan Situs Web Mempengaruhi SEO Anda?
  2. HTTP atau HTTPS?Mengapa Anda Membutuhkan Situs yang Aman