Sitemap

Violazione dell'hosting di GoDaddy non rilevata per 6 mesi

GoDaddy invia avvisi ai clienti per avvisarli di una violazione della sicurezza dell'hosting.La violazione della sicurezza è descritta in termini vaghi da GoDaddy come un individuo che ottiene informazioni di accesso che avrebbero potuto dare all'hacker la possibilità di caricare o modificare i file del sito web.

Hosting GoDaddy compromesso per sei mesi

Secondo il Dipartimento di giustizia della California, la violazione della sicurezza si è verificata il 19 ottobre 2019 ed è stata segnalata circa sei mesi dopo, il 3 maggio 2020.

Screenshot dalla pagina web del Dipartimento di giustizia dello Stato della California per gli annunci di violazione della sicurezza.

Violazione dell'accesso SSH

SSH è noto come Secure Shell.È un protocollo sicuro utilizzato per eseguire comandi su un server, nonché per caricare e modificare file.

Se un utente malintenzionato ha accesso SSH a un sito Web, il sito Web è compromesso.

In generale, solo gli utenti di livello amministratore dovrebbero avere accesso SSH a causa delle modifiche di ampia portata che possono essere apportate ai file principali di un sito Web.

GoDaddy ha annunciato che un utente malintenzionato sconosciuto aveva compromesso alcuni dei loro server.

Dichiarazione e-mail ufficiale di GoDaddy:

"L'indagine ha rilevato che un individuo non autorizzato ha avuto accesso alle tue informazioni di accesso utilizzate per connettersi a SSH sul tuo account di hosting".

Come è stato compromesso SSH?

Secondo GoDaddy, il compromesso in SSH è iniziato nell'ottobre 2019 ed è stato scoperto nell'aprile 2020.

Al di là della dichiarazione generale su quando si è verificata la violazione e che aveva qualcosa a che fare con SSH, GoDaddy non sembra aver divulgato ulteriori informazioni.

  • GoDaddy non dice se questa è una nuova vulnerabilità.
  • GoDaddy non ha detto se proveniva da una vulnerabilità nota di ottobre 2019 che non era stata patchata.

L'unica cosa che GoDaddy ha ammesso è che i server sono stati compromessi da una terza parte nell'ottobre 2019 e non sono stati rilevati per sei mesi.

Vulnerabilità SSH di ottobre

Una ricerca di vulnerabilità SSH mostra che è stata rilevata una grave vulnerabilità in OpenSSH da 7.7 a 7.9 e in tutte le versioni di OpenSSH 8 fino a 8.1.

La vulnerabilità in OpenSSH è stata corretta il 09/10/2019 nella versione 8.1.Quella data coincide con la data di ottobre 2019 che GoDaddy ha confermato come data in cui i loro server di hosting sono stati compromessi.

GoDaddy non ha confermato se quanto sopra è la vulnerabilità.

Il rapporto è archiviato nel rapporto CVE-2019-16905 del National Vulnerability Database del governo degli Stati Uniti

Ma la vulnerabilità è stata scoperta e descritta da SecuriTeam dove hanno una divulgazione completa.

Questa è la descrizione di SecuriTeam:

"Se un utente malintenzionato genera uno stato in cui 'aadlen' + 'encrypted_len' è maggiore di INT_MAX, è possibile superare con successo la verifica...

Qualsiasi funzionalità OpenSSH in grado di analizzare la chiave XMSS privata è vulnerabile".

Se quanto sopra è la vulnerabilità SSH che interessa GoDaddy, che secondo GoDaddy è iniziata nell'ottobre 2019, ciò potrebbe significare che chiunque fosse incaricato della manutenzione dei server GoDaddy non ha aggiornato la vulnerabilità e i server non hanno patchato fino ad aprile 2020.

Ma non abbiamo modo di sapere con certezza cosa sia successo.GoDaddy non ha descritto il motivo per cui la violazione della sicurezza non è stata rilevata per sei mesi.

GoDaddy omette i dettagli di exploit

GoDaddy non ha detto quale fosse la vulnerabilità.GoDaddy non ha detto se si tratta di una nuova vulnerabilità o se è quella di ottobre 2019 sopra descritta.

GoDaddy non ha indicato se i propri file sono stati modificati su alcuni siti.

Secondo un rapporto su Threatpost, questa violazione della sicurezza ha colpito 28.000 account di hosting.

GoDaddy reimposta le password

GoDaddy ha inviato un'e-mail ai clienti interessati per informarli che le loro password sono state modificate.L'e-mail contiene un collegamento alle procedure da seguire per reimpostare la password.

Quanti siti ospitati da GoDaddy sono stati violati?

GoDaddy non ha indicato se alcun sito Web è stato violato.L'e-mail inviata ai clienti diceva che GoDaddy aveva rilevato "attività sospette" sui server dei loro clienti.

Secondo GoDaddy:

"L'indagine ha rilevato che un individuo non autorizzato ha avuto accesso alle tue informazioni di accesso utilizzate per connettersi a SSH sul tuo account di hosting.

Non abbiamo prove che siano stati aggiunti o modificati file sul tuo account.L'individuo non autorizzato è stato bloccato dai nostri sistemi e continuiamo a indagare sul potenziale impatto nel nostro ambiente".

In che modo gli hacker hanno ottenuto l'accesso?

GoDaddy non ha fornito informazioni su come gli hacker abbiano ottenuto l'accesso alle credenziali di accesso SSH.Tuttavia GoDaddy ha inviato un'e-mail ai clienti compromessi informandoli che le loro password sono state reimpostate.

Citazione

Leggi l'e-mail di GoDaddy ai clienti interessati, depositata presso il Dipartimento di giustizia della California

Il documento PDF può essere scaricato dal Dipartimento di giustizia della California: SSH Email for Customers

Più risorse

  1. In che modo la sicurezza del sito web influisce sulla tua SEO?
  2. HTTP o HTTPS?Perché hai bisogno di un sito sicuro