Sitemap

GoDaddyホスティング違反が6か月間検出されなかった

GoDaddyは、ホスティングセキュリティ違反を警告する通知を顧客に送信しています。GoDaddyは、セキュリティ違反について、ハッカーがWebサイトファイルをアップロードまたは変更できるようにする可能性のあるログイン情報を取得する個人として漠然と説明しています。

GoDaddyホスティングが6か月間侵害された

カリフォルニア州司法省によると、セキュリティ違反は2019年10月19日に発生し、約6か月後の2020年5月3日に報告されました。

セキュリティ違反の発表については、カリフォルニア州司法省のWebページのスクリーンショット。

SSHアクセス違反

SSHはセキュアシェルとして知られています。これは、サーバー上でコマンドを実行したり、ファイルをアップロードおよび変更したりするために使用される安全なプロトコルです。

攻撃者がWebサイトにSSHアクセスできる場合、そのWebサイトは危険にさらされます。

一般に、Webサイトのコアファイルにさまざまな変更を加えることができるため、管理者レベルのユーザーのみがSSHアクセス権を持つ必要があります。

GoDaddyは、未知の攻撃者が一部のサーバーを侵害したと発表しました。

GoDaddyの公式メールステートメント:

「調査の結果、許可されていない個人が、ホスティングアカウントのSSHへの接続に使用されるログイン情報にアクセスしたことが判明しました。」

SSHはどのように侵害されましたか?

GoDaddyによると、SSHの侵害は2019年10月に始まり、2020年4月に発見されました。

違反が発生した時期とSSHと関係があるという一般的な声明を超えて、GoDaddyはそれ以上の情報を開示していないようです。

  • GoDaddyは、これが新しい脆弱性であるかどうかについては述べていません。
  • GoDaddyは、パッチが適用されていないのが2019年10月の既知の脆弱性によるものかどうかについては述べていません。

GoDaddyが認めた唯一のことは、2019年10月にサーバーがサードパーティによって侵害され、6か月間検出されなかったことです。

10月のSSHの脆弱性

SSHの脆弱性を検索すると、OpenSSH7.7から7.9およびOpenSSH8から8.1までのすべてのバージョンで重大な脆弱性が発見されたことがわかります。

OpenSSHの脆弱性は、バージョン8.1で2019年10月9日に修正されました。その日付は、GoDaddyがホスティングサーバーが侵害された日付として確認した2019年10月の日付と一致します。

GoDaddyは、上記が脆弱性であるかどうかを確認していません。

このレポートは、米国政府のNationalVulnerabilityDatabaseレポートCVE-2019-16905に提出されています。

しかし、この脆弱性はSecuriTeamによって発見および説明されており、完全に開示されています。

これはSecuriTeamの説明です。

「攻撃者が「aadlen」+「encrypted_len」がINT_MAXより大きい状態を生成した場合、検証に合格する可能性があります…

秘密のXMSSキーを解析できるOpenSSH機能はすべて脆弱です。」

上記がGoDaddyに影響を与えるSSHの脆弱性であり、GoDaddyが2019年10月に開始したと言う場合、GoDaddyサーバーの保守を担当した人は脆弱性の更新に失敗し、サーバーは2020年4月までパッチが適用されなかった可能性があります。

しかし、何が起こったのかを確実に知る方法はありません。GoDaddyは、セキュリティ違反が6か月間検出されなかった理由を説明していません。

GoDaddyはエクスプロイトの詳細を省略しています

GoDaddyは、脆弱性が何であるかを明らかにしませんでした。GoDaddyは、これが新しい脆弱性なのか、それとも上記の2019年10月のものなのかについては述べていません。

GoDaddyは、ファイルが変更されたサイトがあるかどうかを示しませんでした。

Threatpostのレポートによると、このセキュリティ違反は28,000のホスティングアカウントに影響を及ぼしました。

GoDaddyがパスワードをリセットします

GoDaddyは、影響を受ける顧客に、パスワードが変更されたことを知らせるメールを送信しました。電子メールには、パスワードをリセットするために従うべき手順へのリンクが含まれています。

いくつのGoDaddyホストサイトがハッキングされましたか?

GoDaddyは、ハッキングされたWebサイトがあるかどうかを示しませんでした。顧客に送信された電子メールには、GoDaddyが顧客のサーバーで「疑わしいアクティビティ」を検出したことが記載されていました。

GoDaddyによると:

「調査の結果、許可されていない個人が、ホスティングアカウントのSSHへの接続に使用されるログイン情報にアクセスしたことが判明しました。

アカウントにファイルが追加または変更されたという証拠はありません。許可されていない個人はシステムからブロックされており、環境全体の潜在的な影響を調査し続けています。」

ハッカーはどのようにしてアクセスを獲得しましたか?

GoDaddyは、ハッカーがSSHログイン資格情報へのアクセスを取得した方法に関する情報を提供しませんでした。ただし、GoDaddyは、パスワードがリセットされたことを通知する電子メールを侵害された顧客に送信しました。

引用

カリフォルニア州司法省に提出された、影響を受ける顧客へのGoDaddyメールを読む

PDFドキュメントは、カリフォルニア州司法省からダウンロードできます:顧客向けのSSH電子メール

その他のリソース

  1. ウェブサイトのセキュリティはSEOにどのように影響しますか?
  2. HTTPまたはHTTPS?安全なサイトが必要な理由