Sitemap

Naruszenie hostingu GoDaddy niewykryte przez 6 miesięcy

GoDaddy wysyła powiadomienia do klientów, aby ostrzec ich o naruszeniu bezpieczeństwa hostingu.Naruszenie bezpieczeństwa jest opisane przez firmę GoDaddy w niejasnych terminach jako osoba uzyskująca dane logowania, które mogły umożliwić hakerowi przesłanie lub zmianę plików witryny.

Uszkodzony hosting GoDaddy przez sześć miesięcy

Według Kalifornijskiego Departamentu Sprawiedliwości naruszenie bezpieczeństwa miało miejsce 19 października 2019 r. i zostało zgłoszone około sześć miesięcy później, 3 maja 2020 r.

Zrzut ekranu ze strony internetowej Departamentu Sprawiedliwości stanu Kalifornia z ogłoszeniami o naruszeniu bezpieczeństwa.

Naruszenie dostępu SSH

Protokół SSH jest znany jako bezpieczna powłoka.Jest to bezpieczny protokół używany do wykonywania poleceń na serwerze, a także do przesyłania i zmieniania plików.

Jeśli atakujący ma dostęp do witryny przez SSH, oznacza to, że witryna jest zagrożona.

Ogólnie rzecz biorąc, tylko użytkownicy na poziomie administratora powinni mieć dostęp SSH ze względu na szeroki zakres zmian, które można wprowadzić w podstawowych plikach witryny.

GoDaddy ogłosił, że nieznany napastnik włamał się na niektóre z ich serwerów.

Oficjalne oświadczenie e-mail GoDaddy:

„Dochodzenie wykazało, że nieupoważniona osoba miała dostęp do twoich danych logowania używanych do łączenia się z SSH na twoim koncie hostingowym”.

Jak doszło do naruszenia bezpieczeństwa SSH?

Według GoDaddy kompromis w SSH rozpoczął się w październiku 2019 r. i został odkryty w kwietniu 2020 r.

Poza ogólnym stwierdzeniem, kiedy doszło do naruszenia i że miało to coś wspólnego z SSH, GoDaddy nie ujawnił żadnych dalszych informacji.

  • GoDaddy nie mówi, czy jest to nowa luka.
  • GoDaddy nie powiedział, czy pochodzi ze znanej luki w zabezpieczeniach z października 2019 r., która nie została załatana.

Jedyną rzeczą, którą przyznał GoDaddy, było to, że serwery zostały zhakowane przez stronę trzecią w październiku 2019 r. i pozostawały niewykryte przez sześć miesięcy.

Luka w zabezpieczeniach protokołu SSH w październiku

Wyszukiwanie luk w zabezpieczeniach SSH wykazało, że poważna luka została odkryta w OpenSSH 7.7 do 7.9 oraz we wszystkich wersjach OpenSSH 8 do 8.1.

Luka w OpenSSH została naprawiona 10.09.2019 w wersji 8.1.Data ta zbiega się z datą z października 2019 r., którą firma GoDaddy potwierdziła jako datę naruszenia bezpieczeństwa ich serwerów hostingowych.

Firma GoDaddy nie potwierdziła, czy powyższe dotyczy luki.

Raport jest składany w raporcie National Vulnerability Database rządu Stanów Zjednoczonych CVE-2019-16905

Ale luka została odkryta i opisana przez SecuriTeam, gdzie mają pełne ujawnienie.

Oto opis SecuriTeam:

„Jeśli atakujący generuje stan, w którym ‘aadlen’ + ‘encrypted_len’ jest większe niż INT_MAX, to możliwe jest pomyślne przejście weryfikacji…

Każda funkcja OpenSSH, która może analizować prywatny klucz XMSS, jest podatna na ataki.”

Jeśli powyższe dotyczy luki w zabezpieczeniach SSH dotyczącej GoDaddy, która według GoDaddy rozpoczęła się w październiku 2019 r., może to oznaczać, że osoba odpowiedzialna za utrzymanie serwerów GoDaddy nie zaktualizowała tej luki, a serwery pozostały niezałatane do kwietnia 2020 r.

Ale nie mamy możliwości dowiedzenia się na pewno, co się stało.GoDaddy nie opisał, dlaczego naruszenie bezpieczeństwa pozostało niewykryte przez sześć miesięcy.

GoDaddy pomija szczegóły wykorzystania luki

GoDaddy nie powiedział, na czym polega luka.GoDaddy nie powiedział, czy jest to nowa luka w zabezpieczeniach, czy jest to ta z października 2019 r. opisana powyżej.

Firma GoDaddy nie wskazała, czy pliki w jakichś witrynach zostały zmienione.

Według raportu w Threatpost to naruszenie bezpieczeństwa dotknęło 28 000 kont hostingowych.

GoDaddy resetuje hasła

GoDaddy wysłał wiadomość e-mail do klientów, których dotyczy problem, aby poinformować ich, że ich hasła zostały zmienione.Wiadomość e-mail zawiera łącze do procedur, które należy wykonać, aby zresetować hasło.

Ile witryn hostowanych przez GoDaddy zostało zhakowanych?

GoDaddy nie wskazał, czy jakiekolwiek witryny zostały zhakowane.Wiadomość e-mail wysłana do klientów zawierała informację, że GoDaddy wykrył „podejrzaną aktywność” na serwerach ich klientów.

Według GoDaddy:

„Dochodzenie wykazało, że nieupoważniona osoba miała dostęp do twoich danych logowania używanych do łączenia się z SSH na twoim koncie hostingowym.

Nie mamy dowodów na to, że jakiekolwiek pliki zostały dodane lub zmodyfikowane na Twoim koncie.Nieupoważniona osoba została zablokowana w naszych systemach i nadal badamy potencjalny wpływ na nasze środowisko”.

Jak hakerzy uzyskali dostęp?

GoDaddy nie podał żadnych informacji o tym, w jaki sposób hakerzy uzyskali dostęp do danych logowania SSH.Jednak GoDaddy wysłał wiadomość e-mail do zagrożonych klientów, powiadamiając ich, że ich hasła zostały zresetowane.

Cytat

Przeczytaj e-mail od GoDaddy do klientów, których dotyczy problem, złożony w Departamencie Sprawiedliwości Kalifornii

Dokument PDF można pobrać z Departamentu Sprawiedliwości stanu Kalifornia: SSH Email for Customers

Więcej zasobów

  1. Jak bezpieczeństwo witryny wpływa na SEO?
  2. HTTP czy HTTPS?Dlaczego potrzebujesz bezpiecznej strony