Sitemap

Încălcarea găzduirii GoDaddy a fost nedetectată timp de 6 luni

GoDaddy trimite notificări clienților pentru a-i alerta cu privire la o încălcare a securității găzduirii.Încălcarea securității este descrisă în termeni vagi de către GoDaddy ca o persoană care obține informații de conectare care ar fi putut oferi hackerului posibilitatea de a încărca sau modifica fișierele site-ului web.

Găzduirea GoDaddy este compromisă timp de șase luni

Potrivit Departamentului de Justiție din California, încălcarea securității a avut loc pe 19 octombrie 2019 și a fost raportată aproximativ șase luni mai târziu, pe 3 mai 2020.

Captură de ecran de pe pagina web a Departamentului de Justiție al statului California pentru anunțurile privind încălcarea securității.

Încălcarea accesului SSH

SSH este cunoscut sub numele de Secure Shell.Este un protocol securizat folosit pentru a executa comenzi pe un server, precum și pentru încărcarea și modificarea fișierelor.

Dacă un atacator are acces SSH la un site web, site-ul este compromis.

În general, numai utilizatorii la nivel de administrator ar trebui să aibă acces SSH din cauza modificărilor largi care pot fi făcute fișierelor de bază ale unui site web.

GoDaddy a anunțat că un atacator necunoscut a compromis unele dintre serverele lor.

Declarație oficială prin e-mail GoDaddy:

„Investigația a constatat că o persoană neautorizată a avut acces la informațiile dvs. de conectare folosite pentru a vă conecta la SSH în contul dvs. de găzduire.”

Cum a fost compromis SSH?

Potrivit GoDaddy, compromisul în SSH a început în octombrie 2019 și a fost descoperit în aprilie 2020.

Dincolo de declarația generală despre momentul în care a avut loc încălcarea și că a avut ceva de-a face cu SSH, GoDaddy nu pare să fi dezvăluit alte informații.

  • GoDaddy nu spune dacă aceasta este o nouă vulnerabilitate.
  • GoDaddy nu a spus dacă a fost de la o vulnerabilitate cunoscută din octombrie 2019 care nu a fost corectată.

Singurul lucru pe care GoDaddy a recunoscut a fost că serverele au fost compromise de o terță parte în octombrie 2019 și au rămas nedetectate timp de  șase luni.

Vulnerabilitatea SSH din octombrie

O căutare a vulnerabilităților SSH arată că a fost descoperită o vulnerabilitate gravă în OpenSSH 7.7 până la 7.9 și în toate versiunile OpenSSH 8 până la 8.1.

Vulnerabilitatea în OpenSSH a fost remediată în 10/09/2019 în versiunea 8.1.Acea dată coincide cu data din octombrie 2019 pe care GoDaddy a confirmat-o ca fiind data la care serverele lor de găzduire au fost compromise.

GoDaddy nu a confirmat dacă vulnerabilitatea de mai sus este.

Raportul este depus la raportul CVE-2019-16905 al bazei de date naționale privind vulnerabilitățile guvernului Statelor Unite.

Dar vulnerabilitatea a fost descoperită și descrisă de SecuriTeam unde au o dezvăluire completă.

Aceasta este descrierea SecuriTeam:

„Dacă un atacator generează o stare în care „aadlen” + „encrypted_len” este mai mare decât INT_MAX, atunci este posibil să treacă cu succes verificarea...

Orice funcționalitate OpenSSH care poate analiza cheia XMSS privată este vulnerabilă.”

Dacă cele de mai sus este vulnerabilitatea SSH care afectează GoDaddy, despre care GoDaddy spune că a început în octombrie 2019, atunci asta poate însemna că cine era responsabil cu întreținerea serverelor GoDaddy nu a reușit să actualizeze vulnerabilitatea și serverele au fost nepattchizate până în aprilie 2020.

Dar nu avem de unde să știm cu siguranță ce s-a întâmplat.GoDaddy nu a descris de ce bresa de securitate a rămas nedetectată timp de șase luni.

GoDaddy omite detalii despre exploatare

GoDaddy nu a spus care este vulnerabilitatea.GoDaddy nu a spus dacă aceasta este o nouă vulnerabilitate sau dacă este cea din octombrie 2019 descrisă mai sus.

GoDaddy nu a indicat dacă fișierele lor au fost modificate pe vreun site.

Potrivit unui raport din Threatpost, această breșă de securitate a afectat 28.000 de conturi de găzduire.

GoDaddy resetează parolele

GoDaddy a trimis un e-mail clienților afectați pentru a le anunța că parolele lor au fost modificate.E-mailul are un link către procedurile de urmat pentru a reseta parola.

Câte site-uri găzduite GoDaddy au fost piratate?

GoDaddy nu a indicat dacă vreun site web a fost piratat.E-mailul trimis clienților spunea că GoDaddy a detectat „activitate suspectă” pe serverele clienților lor.

Potrivit GoDaddy:

„Investigația a constatat că o persoană neautorizată a avut acces la informațiile dvs. de conectare folosite pentru a vă conecta la SSH în contul dvs. de găzduire.

Nu avem dovezi că au fost adăugate sau modificate fișiere în contul dvs.Persoana neautorizată a fost blocată din sistemele noastre și continuăm să investigăm impactul potențial asupra mediului nostru.”

Cum au obținut acces hackerii?

GoDaddy nu a oferit informații despre modul în care hackerii au obținut acces la datele de conectare SSH.Cu toate acestea, GoDaddy a trimis un e-mail clienților compromisi, notificându-i că parolele lor au fost resetate.

Citare

Citiți e-mailul GoDaddy către clienții afectați, depus la Departamentul de Justiție din California

Documentul PDF poate fi descărcat de la Departamentul de Justiție din California: SSH Email for Customers

Mai multe resurse

  1. Cum vă afectează securitatea site-ului SEO?
  2. HTTP sau HTTPS?De ce aveți nevoie de un site securizat