Sitemap

Inbreuk op GoDaddy-hosting onopgemerkt gedurende 6 maanden

GoDaddy stuurt kennisgevingen naar klanten om hen te waarschuwen voor een inbreuk op de hostingbeveiliging.De inbreuk op de beveiliging wordt door GoDaddy in vage bewoordingen beschreven als een persoon die inloggegevens verkrijgt die de hacker de mogelijkheid hebben gegeven om websitebestanden te uploaden of te wijzigen.

GoDaddy-hosting gecompromitteerd voor zes maanden

Volgens het California Department of Justice vond de inbreuk op de beveiliging plaats op 19 oktober 2019 en werd deze ongeveer zes maanden later op 3 mei 2020 gemeld.

Screenshot van de webpagina van het ministerie van Justitie van de staat Californië voor aankondigingen van beveiligingsinbreuken.

SSH-toegangsfout

SSH staat bekend als Secure Shell.Het is een veilig protocol dat wordt gebruikt om opdrachten op een server uit te voeren en voor het uploaden en wijzigen van bestanden.

Als een aanvaller SSH-toegang heeft tot een website, wordt de website gecompromitteerd.

Over het algemeen zouden alleen gebruikers op beheerdersniveau SSH-toegang moeten hebben vanwege de uitgebreide wijzigingen die kunnen worden aangebracht in de kernbestanden van een website.

GoDaddy heeft aangekondigd dat een onbekende aanvaller enkele van hun servers heeft gecompromitteerd.

Officiële e-mailverklaring van GoDaddy:

"Uit het onderzoek bleek dat een onbevoegd persoon toegang had tot uw inloggegevens die werden gebruikt om verbinding te maken met SSH op uw hostingaccount."

Hoe werd SSH gecompromitteerd?

Volgens GoDaddy begon het compromis in SSH in oktober 2019 en werd het in april 2020 ontdekt.

Afgezien van de algemene verklaring van wanneer de inbreuk plaatsvond en dat het iets met SSH te maken had, lijkt GoDaddy geen verdere informatie te hebben vrijgegeven.

  • GoDaddy zegt niet of dit een nieuwe kwetsbaarheid is.
  • GoDaddy zei niet of het afkomstig was van een bekende kwetsbaarheid uit oktober 2019 die niet was gepatcht.

Het enige dat GoDaddy toegaf, was dat servers in oktober 2019 door een derde partij waren gecompromitteerd en zes maanden onopgemerkt bleven.

SSH-kwetsbaarheid van oktober

Een zoektocht naar SSH-kwetsbaarheden toont aan dat er een ernstige kwetsbaarheid is ontdekt in OpenSSH 7.7 tot en met 7.9 en alle versies van OpenSSH 8 tot 8.1.

De kwetsbaarheid in OpenSSH is opgelost op 10/09/2019 in versie 8.1.Die datum valt samen met de datum van oktober 2019 die GoDaddy heeft bevestigd als de datum waarop hun hostingservers werden gecompromitteerd.

GoDaddy heeft niet bevestigd of het bovenstaande de kwetsbaarheid is.

Het rapport is ingediend bij het rapport CVE-2019-16905 van de National Vulnerability Database van de Amerikaanse overheid

Maar de kwetsbaarheid werd ontdekt en beschreven door SecuriTeam waar ze een volledige onthulling hebben.

Dit is de beschrijving van SecuriTeam:

"Als een aanvaller een status genereert waarin 'aadlen' + 'encrypted_len' groter is dan INT_MAX, dan is het mogelijk om de verificatie met succes te doorstaan...

Elke OpenSSH-functionaliteit die een privé XMSS-sleutel kan ontleden, is kwetsbaar.”

Als het bovenstaande de SSH-kwetsbaarheid is die GoDaddy treft, waarvan GoDaddy zegt dat het begon in oktober 2019, dan kan dat betekenen dat degene die verantwoordelijk was voor het onderhoud van de GoDaddy-servers de kwetsbaarheid niet heeft bijgewerkt en dat de servers tot april 2020 niet zijn gepatcht.

Maar we weten niet zeker wat er is gebeurd.GoDaddy heeft niet beschreven waarom de inbreuk op de beveiliging zes maanden onopgemerkt bleef.

GoDaddy laat details van exploitatie achterwege

GoDaddy heeft niet gezegd wat de kwetsbaarheid was.GoDaddy heeft niet gezegd of dit een nieuwe kwetsbaarheid is of dat het de hierboven beschreven kwetsbaarheid van oktober 2019 is.

GoDaddy heeft niet aangegeven of de bestanden van sites zijn gewijzigd.

Volgens een rapport in Threatpost trof deze beveiligingsinbreuk 28.000 hostingaccounts.

GoDaddy reset wachtwoorden

GoDaddy heeft een e-mail gestuurd naar getroffen klanten om hen te laten weten dat hun wachtwoord is gewijzigd.De e-mail bevat een link naar de te volgen procedures om het wachtwoord opnieuw in te stellen.

Hoeveel door GoDaddy gehoste sites zijn gehackt?

GoDaddy heeft niet aangegeven of er websites zijn gehackt.In de e-mail die naar klanten werd gestuurd, stond dat GoDaddy "verdachte activiteit" op de servers van hun klanten had gedetecteerd.

Volgens GoDaddy:

“Uit het onderzoek bleek dat een onbevoegd persoon toegang had tot uw inloggegevens die werden gebruikt om verbinding te maken met SSH op uw hostingaccount.

We hebben geen bewijs dat er bestanden aan uw account zijn toegevoegd of gewijzigd.De onbevoegde persoon is geblokkeerd voor onze systemen en we blijven de mogelijke impact op onze omgeving onderzoeken.”

Hoe hebben hackers toegang gekregen?

GoDaddy gaf geen informatie over hoe de hackers toegang kregen tot SSH-inloggegevens.GoDaddy heeft echter wel een e-mail gestuurd naar gecompromitteerde klanten om hen te laten weten dat hun wachtwoord opnieuw is ingesteld.

Citaat

Lees GoDaddy E-mail aan getroffen klanten, ingediend bij het California Department of Justice

PDF-document kan worden gedownload van het California Department of Justice: SSH Email for Customers

Meer middelen

  1. Hoe beïnvloedt websitebeveiliging uw SEO?
  2. HTTP of HTTPS?Waarom u een veilige site nodig heeft