Sitemap

GoDaddy-värdbrott oupptäckt i 6 månader

GoDaddy skickar meddelanden till kunder för att varna dem om ett säkerhetsintrång i värdtjänsten.Säkerhetsintrånget beskrivs i vaga ordalag av GoDaddy som en individ som skaffar inloggningsinformation som kunde ha gett hackaren möjligheten att ladda upp eller ändra webbplatsfiler.

GoDaddy Hosting äventyras i sex månader

Enligt California Department of Justice inträffade säkerhetsintrånget den 19 oktober 2019 och rapporterades ungefär sex månader senare den 3 maj 2020.

Skärmdump från det amerikanska justitiedepartementets webbsida för meddelanden om säkerhetsintrång.

SSH-åtkomstbrott

SSH är känt som Secure Shell.Det är ett säkert protokoll som används för att utföra kommandon på en server samt för att ladda upp och ändra filer.

Om en angripare har SSH-åtkomst till en webbplats är webbplatsen äventyrad.

I allmänhet bör endast användare på administratörsnivå ha SSH-åtkomst på grund av de omfattande ändringar som kan göras i kärnfilerna på en webbplats.

GoDaddy meddelade att en okänd angripare hade äventyrat några av deras servrar.

Officiellt e-postmeddelande från GoDaddy:

"Utredningen fann att en obehörig person hade tillgång till din inloggningsinformation som användes för att ansluta till SSH på ditt värdkonto."

Hur äventyrades SSH?

Enligt GoDaddy började kompromissen i SSH i oktober 2019 och upptäcktes i april 2020.

Utöver det allmänna uttalandet om när intrånget inträffade och att det hade något med SSH att göra, verkar GoDaddy inte ha avslöjat någon ytterligare information.

  • GoDaddy säger inte om detta är en ny sårbarhet.
  • GoDaddy sa inte om det var från en känd sårbarhet från oktober 2019 som hade försvunnit.

Det enda GoDaddy medgav var att servrar komprometterades av en tredje part i oktober 2019 och att det inte upptäcktes i sex månader.

Oktober SSH sårbarhet

En sökning efter SSH-sårbarheter visar att en allvarlig sårbarhet upptäcktes i OpenSSH 7.7 till 7.9 och alla versioner av OpenSSH 8 upp till 8.1.

Sårbarheten i OpenSSH åtgärdades 2019-10-09 i version 8.1.Det datumet sammanfaller med datumet i oktober 2019 som GoDaddy bekräftade som datumet då deras värdservrar äventyrades.

GoDaddy har inte bekräftat om ovanstående är sårbarheten.

Rapporten är inlämnad till USA:s regerings nationella sårbarhetsdatabasrapport CVE-2019-16905

Men sårbarheten upptäcktes och beskrevs av SecuriTeam där de har en fullständig avslöjande.

Detta är SecuriTeam-beskrivningen:

"Om en angripare genererar ett tillstånd där 'aadlen' + 'encrypted_len' är större än INT_MAX, då är det möjligt att klara verifieringen...

Alla OpenSSH-funktioner som kan analysera privat XMSS-nyckel är sårbara."

Om ovanstående är SSH-sårbarheten som påverkar GoDaddy, som GoDaddy säger började i oktober 2019, så kan det betyda att den som var ansvarig för att underhålla GoDaddy-servrarna misslyckades med att uppdatera sårbarheten och servrarna blev opatchade fram till april 2020.

Men vi har inget sätt att säkert veta vad som hände.GoDaddy beskrev inte varför säkerhetsintrånget gick oupptäckt i sex månader.

GoDaddy utelämnar detaljer om utnyttjande

GoDaddy sa inte vad sårbarheten var.GoDaddy sa inte om detta är en ny sårbarhet eller om det är den från oktober 2019 som beskrivs ovan.

GoDaddy angav inte om några webbplatser har fått sina filer ändrade.

Enligt en rapport i Threatpost påverkade detta säkerhetsbrott 28 000 värdkonton.

GoDaddy återställer lösenord

GoDaddy skickade ett e-postmeddelande till berörda kunder för att meddela dem att deras lösenord har ändrats.E-postmeddelandet har en länk till de procedurer som ska följas för att återställa lösenordet.

Hur många GoDaddy-värdwebbplatser hackade?

GoDaddy angav inte om några webbplatser hackades.E-postmeddelandet som skickades till kunder sa att GoDaddy hade upptäckt "misstänkt aktivitet" på deras kunders servrar.

Enligt GoDaddy:

"Utredningen fann att en obehörig person hade tillgång till din inloggningsinformation som användes för att ansluta till SSH på ditt värdkonto.

Vi har inga bevis för att några filer har lagts till eller ändrats på ditt konto.Den obehöriga personen har blockerats från våra system, och vi fortsätter att undersöka potentiell påverkan i vår miljö.”

Hur fick hackare åtkomst?

GoDaddy gav ingen information om hur hackarna fick tillgång till SSH-inloggningsuppgifter.Men GoDaddy skickade ett e-postmeddelande till utsatta kunder och meddelade dem att deras lösenord har återställts.

Citat

Läs GoDaddys e-postmeddelande till berörda kunder, inlämnat till California Department of Justice

PDF-dokument kan laddas ner från California Department of Justice: SSH Email for Customers

Fler resurser

  1. Hur påverkar webbplatssäkerhet din SEO?
  2. HTTP eller HTTPS?Varför du behöver en säker webbplats