Sitemap

Нарушение хостинга GoDaddy оставалось незамеченным в течение 6 месяцев

GoDaddy отправляет уведомления клиентам, чтобы предупредить их о нарушении безопасности хостинга.Нарушение безопасности описывается GoDaddy расплывчато как получение человеком информации для входа в систему, которая могла дать хакеру возможность загружать или изменять файлы веб-сайта.

Хостинг GoDaddy взломан на шесть месяцев

По данным Министерства юстиции Калифорнии, нарушение безопасности произошло 19 октября 2019 года, и о нем сообщили примерно через шесть месяцев, 3 мая 2020 года.

Снимок экрана с веб-страницы Министерства юстиции штата Калифорния с объявлениями о нарушениях безопасности.

Нарушение доступа к SSH

SSH известен как Secure Shell.Это безопасный протокол, используемый для выполнения команд на сервере, а также для загрузки и изменения файлов.

Если злоумышленник имеет SSH-доступ к веб-сайту, веб-сайт скомпрометирован.

Как правило, только пользователи уровня администратора должны иметь доступ по SSH из-за большого количества изменений, которые могут быть внесены в основные файлы веб-сайта.

GoDaddy сообщила, что неизвестный злоумышленник взломал некоторые из их серверов.

Официальное заявление GoDaddy по электронной почте:

«Расследование показало, что неавторизованное лицо получило доступ к вашей информации для входа, используемой для подключения к SSH в вашей учетной записи хостинга».

Как был скомпрометирован SSH?

По данным GoDaddy, компрометация SSH началась в октябре 2019 года и была обнаружена в апреле 2020 года.

Помимо общего заявления о том, когда произошло нарушение и что оно как-то связано с SSH, GoDaddy, похоже, не раскрыла никакой дополнительной информации.

  • GoDaddy не сообщает, является ли это новой уязвимостью.
  • GoDaddy не сказал, было ли это связано с известной уязвимостью от октября 2019 года, которая осталась неисправленной.

Единственное, что признала GoDaddy, это то, что серверы были взломаны третьей стороной в октябре 2019 года, и в течение шести месяцев это оставалось незамеченным.

Октябрьская уязвимость SSH

Поиск уязвимостей SSH показывает, что серьезная уязвимость была обнаружена в OpenSSH с 7.7 по 7.9 и во всех версиях OpenSSH с 8 по 8.1.

Уязвимость в OpenSSH была устранена 09.10.2019 в версии 8.1.Эта дата совпадает с датой октября 2019 года, которую GoDaddy подтвердила как дату взлома их серверов хостинга.

GoDaddy не подтвердил, является ли указанное выше уязвимостью.

Отчет представлен в отчете Национальной базы данных уязвимостей правительства США CVE-2019-16905.

Но уязвимость была обнаружена и описана SecuriTeam, где у них есть полное раскрытие.

Это описание SecuriTeam:

«Если злоумышленник генерирует состояние, в котором «aadlen» + «encrypted_len» больше, чем INT_MAX, то можно успешно пройти проверку…

Любая функциональность OpenSSH, которая может анализировать закрытый ключ XMSS, уязвима».

Если вышеизложенное относится к уязвимости SSH, затрагивающей GoDaddy, которая, по словам GoDaddy, началась в октябре 2019 года, то это может означать, что тот, кто отвечал за обслуживание серверов GoDaddy, не смог обновить уязвимость, и серверы не были исправлены до апреля 2020 года.

Но у нас нет возможности узнать наверняка, что произошло.GoDaddy не объяснил, почему нарушение безопасности оставалось незамеченным в течение шести месяцев.

GoDaddy опускает детали эксплойта

GoDaddy не сообщил, в чем заключалась уязвимость.GoDaddy не сообщил, является ли это новой уязвимостью или описанной выше уязвимостью от октября 2019 года.

GoDaddy не указал, были ли изменены файлы каких-либо сайтов.

Согласно отчету Threatpost, это нарушение безопасности затронуло 28 000 учетных записей хостинга.

GoDaddy сбрасывает пароли

Компания GoDaddy разослала затронутым клиентам электронное письмо, чтобы сообщить им, что их пароли были изменены.В электронном письме есть ссылка на процедуры, которым необходимо следовать, чтобы сбросить пароль.

Сколько сайтов, размещенных GoDaddy, было взломано?

GoDaddy не указал, были ли взломаны какие-либо веб-сайты.В электронном письме, отправленном клиентам, говорилось, что GoDaddy обнаружила «подозрительную активность» на серверах своих клиентов.

Согласно GoDaddy:

«Расследование показало, что неавторизованное лицо получило доступ к вашей информации для входа, используемой для подключения к SSH в вашей учетной записи хостинга.

У нас нет доказательств того, что какие-либо файлы были добавлены или изменены в вашей учетной записи.Несанкционированное лицо было заблокировано в наших системах, и мы продолжаем исследовать потенциальное воздействие на нашу среду».

Как хакеры получили доступ?

GoDaddy не предоставил информации о том, как хакеры получили доступ к учетным данным для входа по SSH.Однако GoDaddy отправила скомпрометированным клиентам электронное письмо с уведомлением о том, что их пароли были сброшены.

Цитата

Прочтите электронное письмо GoDaddy для затронутых клиентов, поданное в Министерство юстиции Калифорнии.

Документ в формате PDF можно загрузить с веб-сайта Министерства юстиции Калифорнии: электронная почта SSH для клиентов.

Дополнительные ресурсы

  1. Как безопасность веб-сайта влияет на ваше SEO?
  2. HTTP или HTTPS?Зачем вам нужен безопасный сайт