Sitemap

Violação de hospedagem da GoDaddy não detectada por 6 meses

A GoDaddy está enviando avisos aos clientes para alertá-los sobre uma violação de segurança de hospedagem.A violação de segurança é descrita em termos vagos pela GoDaddy como um indivíduo obtendo informações de login que poderiam ter dado ao hacker a capacidade de fazer upload ou alterar arquivos do site.

Hospedagem GoDaddy comprometida por seis meses

De acordo com o Departamento de Justiça da Califórnia, a violação de segurança ocorreu em 19 de outubro de 2019 e foi relatada cerca de seis meses depois, em 3 de maio de 2020.

Captura de tela da página da Web do Departamento de Justiça do Estado da Califórnia para anúncios de violação de segurança.

Violação de acesso SSH

SSH é conhecido como Secure Shell.É um protocolo seguro usado para executar comandos em um servidor, bem como para carregar e alterar arquivos.

Se um invasor tiver acesso SSH a um site, o site será comprometido.

Em geral, apenas usuários de nível de administrador devem ter acesso SSH devido às amplas alterações que podem ser feitas nos arquivos principais de um site.

A GoDaddy anunciou que um invasor desconhecido havia comprometido alguns de seus servidores.

Declaração oficial por e-mail da GoDaddy:

“A investigação descobriu que um indivíduo não autorizado teve acesso às suas informações de login usadas para se conectar ao SSH em sua conta de hospedagem.”

Como o SSH foi comprometido?

De acordo com o GoDaddy, o comprometimento no SSH começou em outubro de 2019 e foi descoberto em abril de 2020.

Além da declaração geral de quando a violação aconteceu e que tinha algo a ver com SSH, a GoDaddy não parece ter divulgado mais informações.

  • A GoDaddy não diz se esta é uma nova vulnerabilidade.
  • A GoDaddy não disse se era de uma vulnerabilidade conhecida de outubro de 2019 que não foi corrigida.

A única coisa que a GoDaddy admitiu foi que os servidores foram comprometidos por terceiros em outubro de 2019 e não foram detectados por seis meses.

Vulnerabilidade SSH de outubro

Uma pesquisa por vulnerabilidades SSH mostra que uma vulnerabilidade grave foi descoberta no OpenSSH 7.7 a 7.9 e em todas as versões do OpenSSH 8 até 8.1.

A vulnerabilidade no OpenSSH foi corrigida em 09/10/2019 na versão 8.1.Essa data coincide com a data de outubro de 2019 que a GoDaddy confirmou como a data em que seus servidores de hospedagem foram comprometidos.

GoDaddy não confirmou se o acima é a vulnerabilidade.

O relatório está arquivado no relatório do Banco de Dados Nacional de Vulnerabilidades do Governo dos Estados Unidos CVE-2019-16905

Mas a vulnerabilidade foi descoberta e descrita pela SecuriTeam onde eles têm uma divulgação completa.

Esta é a descrição do SecuriTeam:

“Se um invasor gera um estado em que 'aadlen' + 'encrypted_len' é maior que INT_MAX, então é possível passar na verificação com sucesso…

Qualquer funcionalidade OpenSSH que possa analisar a chave XMSS privada é vulnerável.”

Se o acima for a vulnerabilidade SSH que afeta o GoDaddy, que o GoDaddy diz ter começado em outubro de 2019, isso pode significar que quem estava encarregado de manter os servidores GoDaddy não atualizou a vulnerabilidade e os servidores não foram corrigidos até abril de 2020.

Mas não temos como saber com certeza o que aconteceu.A GoDaddy não descreveu por que a violação de segurança não foi detectada por seis meses.

GoDaddy omite detalhes da exploração

A GoDaddy não disse qual era a vulnerabilidade.A GoDaddy não disse se esta é uma nova vulnerabilidade ou se é a de outubro de 2019 descrita acima.

A GoDaddy não indicou se algum site teve seus arquivos alterados.

De acordo com um relatório do Threatpost, essa violação de segurança afetou 28.000 contas de hospedagem.

GoDaddy redefine senhas

A GoDaddy enviou um e-mail aos clientes afetados para informá-los de que suas senhas foram alteradas.O e-mail tem um link para os procedimentos a seguir para redefinir a senha.

Quantos sites hospedados pela GoDaddy foram hackeados?

A GoDaddy não indicou se algum site foi invadido.O e-mail enviado aos clientes dizia que a GoDaddy havia detectado “atividades suspeitas” nos servidores de seus clientes.

De acordo com o GoDaddy:

“A investigação descobriu que um indivíduo não autorizado teve acesso às suas informações de login usadas para se conectar ao SSH em sua conta de hospedagem.

Não temos evidências de que quaisquer arquivos tenham sido adicionados ou modificados em sua conta.O indivíduo não autorizado foi bloqueado em nossos sistemas e continuamos investigando o possível impacto em nosso ambiente.”

Como os hackers obtiveram acesso?

A GoDaddy não forneceu informações sobre como os hackers obtiveram acesso às credenciais de login SSH.No entanto, a GoDaddy enviou um e-mail aos clientes comprometidos, notificando-os de que suas senhas foram redefinidas.

Citação

Leia o e-mail da GoDaddy para os clientes afetados, arquivado no Departamento de Justiça da Califórnia

O documento PDF pode ser baixado do Departamento de Justiça da Califórnia: SSH Email for Customers

Mais recursos

  1. Como a segurança do site afeta seu SEO?
  2. HTTP ou HTTPS?Por que você precisa de um site seguro