Sitemap

GoDaddy 호스팅 위반 6개월 동안 탐지되지 않음

GoDaddy는 호스팅 보안 위반에 대해 고객에게 알림을 보내고 있습니다.보안 침해는 해커가 웹사이트 파일을 업로드하거나 변경할 수 있는 권한을 부여할 수 있는 로그인 정보를 개인이 획득하는 것으로 GoDaddy에서 모호한 용어로 설명합니다.

6개월 동안 손상된 GoDaddy 호스팅

캘리포니아 법무부에 따르면 보안 침해는 2019년 10월 19일에 발생했으며 약 6개월 후인 2020년 5월 3일에 보고되었습니다.

보안 침해 발표에 대한 캘리포니아주 법무부 웹 페이지의 스크린샷.

SSH 액세스 위반

SSH는 Secure Shell로 알려져 있습니다.파일 업로드 및 변경뿐만 아니라 서버에서 명령을 실행하는 데 사용되는 보안 프로토콜입니다.

공격자가 웹 사이트에 SSH로 액세스할 수 있는 경우 웹 사이트가 손상됩니다.

일반적으로 웹사이트의 핵심 파일에 적용될 수 있는 광범위한 변경 사항 때문에 관리자 수준의 사용자만 SSH 액세스 권한을 가져야 합니다.

GoDaddy는 알 수 없는 공격자가 일부 서버를 손상시켰다고 발표했습니다.

공식 GoDaddy 이메일 설명:

"조사 결과 승인되지 않은 개인이 호스팅 계정의 SSH에 연결하는 데 사용된 로그인 정보에 액세스한 것으로 나타났습니다."

SSH는 어떻게 손상되었습니까?

GoDaddy에 따르면 SSH의 손상은 2019년 10월에 시작되어 2020년 4월에 발견되었습니다.

침해가 발생한 시점과 SSH와 관련이 있다는 일반적인 진술 외에 GoDaddy는 추가 정보를 공개하지 않은 것으로 보입니다.

  • GoDaddy는 이것이 새로운 취약점인지 여부를 말하지 않습니다.
  • GoDaddy는 패치가 적용되지 않은 2019년 10월의 알려진 취약점인지 여부는 밝히지 않았습니다.

GoDaddy가 인정한 유일한 사실은 서버가 2019년 10월에 제3자에 의해 손상되었고 6개월 동안 탐지되지 않았다는 것입니다.

10월 SSH 취약점

SSH 취약점 검색 결과 OpenSSH 7.7~7.9 및 모든 OpenSSH 8 버전(8.1)에서 심각한 취약점이 발견되었습니다.

OpenSSH의 취약점은 2019년 9월 10일 버전 8.1에서 수정되었습니다.해당 날짜는 GoDaddy에서 호스팅 서버가 손상된 날짜로 확인한 2019년 10월 날짜와 일치합니다.

GoDaddy는 위의 취약점이 있는지 확인하지 않았습니다.

보고서는 미국 정부 국가 취약성 데이터베이스 보고서 CVE-2019-16905에 제출되었습니다.

그러나 취약점은 SecuriTeam에 의해 발견되어 완전히 공개된 상태에서 설명되었습니다.

이것은 SecuriTeam 설명입니다:

"공격자가 'aadlen' + 'encrypted_len'이 INT_MAX보다 큰 상태를 생성하면 성공적으로 검증 통과 가능…

개인 XMSS 키를 구문 분석할 수 있는 모든 OpenSSH 기능은 취약합니다."

위의 내용이 2019년 10월 GoDaddy에서 시작된 GoDaddy에 영향을 미치는 SSH 취약점이라면 GoDaddy 서버 유지 관리를 담당했던 사람이 취약점 업데이트에 실패했고 서버는 2020년 4월까지 패치되지 않았다는 의미일 수 있습니다.

그러나 우리는 무슨 일이 일어났는지 확실히 알 수 있는 방법이 없습니다.GoDaddy는 보안 침해가 6개월 동안 탐지되지 않은 이유를 설명하지 않았습니다.

GoDaddy는 익스플로잇에 대한 세부 정보를 생략합니다.

GoDaddy는 취약점이 무엇인지 밝히지 않았습니다.GoDaddy는 이것이 새로운 취약점인지 또는 위에서 설명한 2019년 10월 취약점인지 밝히지 않았습니다.

GoDaddy는 파일이 변경된 사이트가 있는지 여부를 표시하지 않았습니다.

Threatpost의 보고서에 따르면 이 보안 침해는 28,000개의 호스팅 계정에 영향을 미쳤습니다.

GoDaddy가 비밀번호를 재설정합니다.

GoDaddy는 영향을 받는 고객에게 이메일을 보내 비밀번호가 변경되었음을 알렸습니다.이메일에는 비밀번호를 재설정하기 위해 따라야 하는 절차에 대한 링크가 있습니다.

얼마나 많은 GoDaddy 호스팅 사이트가 해킹되었습니까?

GoDaddy는 웹사이트가 해킹되었는지 여부를 표시하지 않았습니다.고객에게 보낸 이메일에는 GoDaddy가 고객 서버에서 "의심스러운 활동"을 감지했다고 나와 있습니다.

GoDaddy에 따르면:

"조사 결과 승인되지 않은 개인이 호스팅 계정의 SSH에 연결하는 데 사용된 로그인 정보에 액세스한 것으로 나타났습니다.

귀하의 계정에 파일이 추가되거나 수정되었다는 증거가 없습니다.승인되지 않은 개인은 우리 시스템에서 차단되었으며 우리는 우리 환경 전반에 잠재적인 영향을 계속 조사하고 있습니다."

해커는 어떻게 액세스 권한을 얻었습니까?

GoDaddy는 해커가 SSH 로그인 자격 증명에 대한 액세스 권한을 얻은 방법에 대한 정보를 제공하지 않았습니다.그러나 GoDaddy는 손상된 고객에게 비밀번호가 재설정되었음을 알리는 이메일을 보냈습니다.

소환

캘리포니아 법무부에 제출된 영향을 받는 고객에게 보내는 GoDaddy 이메일 읽기

캘리포니아 법무부: 고객을 위한 SSH 이메일에서 PDF 문서를 다운로드할 수 있습니다.

추가 리소스

  1. 웹사이트 보안이 SEO에 어떤 영향을 미칩니까?
  2. HTTP 또는 HTTPS?보안 사이트가 필요한 이유