Sitemap

Pelanggaran Pengehosan GoDaddy Tidak Dikesan selama 6 Bulan

GoDaddy menghantar notis kepada pelanggan untuk memaklumkan mereka tentang pelanggaran keselamatan pengehosan.Pelanggaran keselamatan diterangkan secara samar-samar oleh GoDaddy sebagai individu yang memperoleh maklumat log masuk yang boleh memberi penggodam keupayaan untuk memuat naik atau menukar fail tapak web.

Pengehosan GoDaddy Dikompromi selama Enam Bulan

Menurut Jabatan Kehakiman California, pelanggaran keselamatan itu berlaku pada 19 Oktober 2019 dan dilaporkan kira-kira enam bulan kemudian pada 3 Mei 2020.

Petikan skrin dari halaman web Jabatan Kehakiman Negeri California untuk pengumuman pelanggaran keselamatan.

Pelanggaran Akses SSH

SSH dikenali sebagai Secure Shell.Ia adalah protokol selamat yang digunakan untuk melaksanakan arahan pada pelayan juga untuk memuat naik dan menukar fail.

Jika penyerang mempunyai akses SSH ke tapak web, tapak web itu terjejas.

Secara umum, hanya pengguna peringkat pentadbir yang harus mempunyai akses SSH kerana pelbagai perubahan yang boleh dibuat pada fail teras tapak web.

GoDaddy mengumumkan bahawa penyerang yang tidak dikenali telah menjejaskan beberapa pelayan mereka.

Penyata e-mel rasmi GoDaddy:

"Siasatan mendapati bahawa individu yang tidak dibenarkan mempunyai akses kepada maklumat log masuk anda yang digunakan untuk menyambung ke SSH pada akaun pengehosan anda."

Bagaimana SSH Dikompromi?

Menurut GoDaddy, kompromi dalam SSH bermula pada Oktober 2019 dan ditemui pada April 2020.

Di sebalik kenyataan umum apabila pelanggaran berlaku dan ia ada kaitan dengan SSH, GoDaddy nampaknya tidak mendedahkan sebarang maklumat lanjut.

  • GoDaddy tidak menyatakan sama ada ini adalah kelemahan baharu.
  • GoDaddy tidak menyatakan sama ada ia adalah daripada kelemahan yang diketahui dari Oktober 2019 yang telah tidak ditambal.

Satu-satunya perkara yang diakui oleh GoDaddy ialah pelayan telah dikompromi oleh pihak ketiga pada Oktober 2019 dan ia tidak dapat dikesan selama  enam bulan.

Kerentanan SSH Oktober

Carian untuk kelemahan SSH menunjukkan bahawa kelemahan teruk ditemui dalam OpenSSH 7.7 hingga 7.9 dan semua versi OpenSSH 8 hingga 8.1.

Kerentanan dalam OpenSSH telah ditetapkan pada 10/09/2019 dalam versi 8.1.Tarikh itu bertepatan dengan tarikh Oktober 2019 yang disahkan oleh GoDaddy sebagai tarikh pelayan pengehosan mereka terjejas.

GoDaddy belum mengesahkan sama ada perkara di atas adalah kelemahan.

Laporan itu difailkan di laporan Pangkalan Data Kerentanan Kebangsaan Kerajaan Amerika Syarikat CVE-2019-16905

Tetapi kelemahan itu ditemui dan diterangkan oleh SecuriTeam di mana mereka mempunyai pendedahan penuh.

Ini ialah penerangan SecuriTeam:

"Jika penyerang menjana keadaan di mana 'aadlen' + 'encrypted_len' lebih besar daripada INT_MAX, maka adalah mungkin untuk berjaya lulus pengesahan...

Sebarang fungsi OpenSSH yang boleh menghuraikan kunci XMSS persendirian adalah terdedah."

Jika perkara di atas ialah kerentanan SSH yang menjejaskan GoDaddy, yang GoDaddy katakan bermula pada Oktober 2019, maka itu mungkin bermakna sesiapa yang bertanggungjawab menyelenggara pelayan GoDaddy gagal mengemas kini kelemahan dan pelayan tidak ditambal sehingga April 2020.

Tetapi kami tidak mempunyai cara untuk mengetahui dengan pasti apa yang berlaku.GoDaddy tidak menerangkan sebab pelanggaran keselamatan tidak dapat dikesan selama enam bulan.

GoDaddy Meninggalkan Butiran Eksploitasi

GoDaddy tidak menyatakan apakah kelemahan itu.GoDaddy tidak menyatakan sama ada ini adalah kerentanan baharu atau jika ia adalah kerentanan dari Oktober 2019 yang diterangkan di atas.

GoDaddy tidak menunjukkan sama ada mana-mana tapak telah menukar failnya.

Menurut laporan dalam Threatpost, pelanggaran keselamatan ini menjejaskan 28,000 akaun pengehosan.

GoDaddy Menetapkan Semula Kata Laluan

GoDaddy menghantar e-mel kepada pelanggan yang terjejas untuk memberitahu mereka bahawa kata laluan mereka telah ditukar.E-mel itu mempunyai pautan kepada prosedur yang perlu diikuti untuk menetapkan semula kata laluan.

Berapa Banyak Tapak Dihoskan GoDaddy Digodam?

GoDaddy tidak menunjukkan sama ada mana-mana tapak web telah digodam.E-mel yang dihantar kepada pelanggan mengatakan bahawa GoDaddy telah mengesan "aktiviti yang mencurigakan" pada pelayan pelanggan mereka.

Menurut GoDaddy:

“Siasatan mendapati individu yang tidak dibenarkan mempunyai akses kepada maklumat log masuk anda yang digunakan untuk menyambung ke SSH pada akaun pengehosan anda.

Kami tidak mempunyai bukti bahawa sebarang fail telah ditambahkan atau diubah suai pada akaun anda.Individu yang tidak dibenarkan telah disekat daripada sistem kami, dan kami terus menyiasat potensi kesan merentasi persekitaran kami."

Bagaimana Penggodam Mendapat Akses?

GoDaddy tidak memberikan maklumat tentang cara penggodam memperoleh akses kepada kelayakan log masuk SSH.Walau bagaimanapun, GoDaddy telah menghantar e-mel kepada pelanggan yang terjejas memberitahu mereka bahawa kata laluan mereka telah ditetapkan semula.

Petikan

Baca E-mel GoDaddy kepada pelanggan yang terjejas, difailkan dengan Jabatan Kehakiman California

Dokumen PDF boleh dimuat turun dari Jabatan Kehakiman California: E-mel SSH untuk Pelanggan

Lebih Banyak Sumber

  1. Bagaimana Keselamatan Laman Web Mempengaruhi SEO Anda?
  2. HTTP atau HTTPS?Mengapa Anda Memerlukan Tapak Selamat