Sitemap

GoDaddy Hosting Breach ตรวจไม่พบเป็นเวลา 6 เดือน

GoDaddy กำลังส่งการแจ้งเตือนไปยังลูกค้าเพื่อแจ้งเตือนการละเมิดความปลอดภัยของโฮสติ้งGoDaddy กล่าวถึงการละเมิดความปลอดภัยว่าเป็นผู้ได้รับข้อมูลการเข้าสู่ระบบซึ่งอาจทำให้แฮ็กเกอร์สามารถอัปโหลดหรือเปลี่ยนไฟล์เว็บไซต์ได้

GoDaddy Hosting ถูกบุกรุกเป็นเวลาหกเดือน

ตามรายงานของกระทรวงยุติธรรมแคลิฟอร์เนีย การละเมิดความปลอดภัยเกิดขึ้นเมื่อวันที่ 19 ตุลาคม 2019 และถูกรายงานในอีกหกเดือนต่อมาในวันที่ 3 พฤษภาคม 2020

ภาพหน้าจอจากหน้าเว็บของกระทรวงยุติธรรมแห่งรัฐแคลิฟอร์เนียสำหรับประกาศเกี่ยวกับการละเมิดความปลอดภัย

การละเมิดการเข้าถึง SSH

SSH เป็นที่รู้จักในชื่อ Secure Shellเป็นโปรโตคอลที่ปลอดภัยที่ใช้ในการรันคำสั่งบนเซิร์ฟเวอร์รวมถึงการอัพโหลดและเปลี่ยนไฟล์

หากผู้โจมตีมีการเข้าถึง SSH ไปยังเว็บไซต์ เว็บไซต์นั้นจะถูกบุกรุก

โดยทั่วไป เฉพาะผู้ใช้ระดับผู้ดูแลระบบเท่านั้นที่มีสิทธิ์เข้าถึง SSH เนื่องจากการเปลี่ยนแปลงที่หลากหลายที่สามารถทำได้กับไฟล์หลักของเว็บไซต์

GoDaddy ประกาศว่าผู้โจมตีที่ไม่รู้จักได้บุกรุกเซิร์ฟเวอร์บางส่วนของพวกเขา

คำชี้แจงทางอีเมลอย่างเป็นทางการของ GoDaddy:

“การสอบสวนพบว่าบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลการเข้าสู่ระบบของคุณที่ใช้ในการเชื่อมต่อกับ SSH ในบัญชีโฮสติ้งของคุณ”

SSH ถูกบุกรุกอย่างไร?

จากข้อมูลของ GoDaddy การประนีประนอมใน SSH เริ่มขึ้นในเดือนตุลาคม 2019 และถูกค้นพบในเดือนเมษายน 2020

นอกเหนือจากคำกล่าวทั่วไปว่าการละเมิดเกิดขึ้นเมื่อใดและเกี่ยวข้องกับ SSH ดูเหมือนว่า GoDaddy จะไม่เปิดเผยข้อมูลเพิ่มเติมใดๆ

  • GoDaddy ไม่ได้บอกว่านี่เป็นช่องโหว่ใหม่หรือไม่
  • GoDaddy ไม่ได้บอกว่าเกิดจากช่องโหว่ที่ทราบตั้งแต่เดือนตุลาคม 2019 ที่ไม่ได้รับการแพตช์หรือไม่

สิ่งเดียวที่ GoDaddy ยอมรับคือเซิร์ฟเวอร์ถูกโจมตีโดยบุคคลที่สามในเดือนตุลาคม 2019 และตรวจไม่พบเซิร์ฟเวอร์นี้เป็นเวลาหกเดือน

ช่องโหว่ SSH ประจำเดือนตุลาคม

การค้นหาช่องโหว่ SSH แสดงให้เห็นว่ามีการค้นพบช่องโหว่ที่รุนแรงใน OpenSSH 7.7 ถึง 7.9 และ OpenSSH 8 ทุกเวอร์ชันสูงถึง 8.1

ช่องโหว่ใน OpenSSH ได้รับการแก้ไข 10/09/2019 ในเวอร์ชัน 8.1วันที่นั้นตรงกับวันที่ในเดือนตุลาคม 2019 ที่ GoDaddy ยืนยันว่าเป็นวันที่เซิร์ฟเวอร์โฮสต์ของพวกเขาถูกบุกรุก

GoDaddy ไม่ได้ยืนยันว่าข้างต้นเป็นช่องโหว่หรือไม่

รายงานถูกยื่นที่รายงานฐานข้อมูลช่องโหว่แห่งชาติของรัฐบาลสหรัฐอเมริกา CVE-2019-16905

แต่ช่องโหว่นั้นถูกค้นพบและอธิบายโดย SecuriTeam ซึ่งพวกเขามีการเปิดเผยอย่างครบถ้วน

นี่คือคำอธิบายของ SecuriTeam:

“หากผู้โจมตีสร้างสถานะที่ 'aadlen' + 'encrypted_len' ใหญ่กว่า INT_MAX ก็เป็นไปได้ที่จะผ่านการตรวจสอบได้สำเร็จ...

ฟังก์ชันการทำงานของ OpenSSH ใดๆ ที่สามารถแยกวิเคราะห์คีย์ XMLS ส่วนตัวนั้นมีความเสี่ยง”

หากข้างต้นเป็นช่องโหว่ SSH ที่ส่งผลต่อ GoDaddy ซึ่ง GoDaddy กล่าวว่าเริ่มต้นในเดือนตุลาคม 2019 นั่นหมายความว่าใครก็ตามที่รับผิดชอบในการดูแลเซิร์ฟเวอร์ GoDaddy ล้มเหลวในการอัปเดตช่องโหว่และเซิร์ฟเวอร์ไม่ได้รับการแพตช์จนถึงเดือนเมษายน 2020

แต่เราไม่มีทางรู้แน่ชัดว่าเกิดอะไรขึ้นGoDaddy ไม่ได้อธิบายว่าเหตุใดจึงตรวจไม่พบการละเมิดความปลอดภัยเป็นเวลาหกเดือน

GoDaddy ละเว้นรายละเอียดของการเอารัดเอาเปรียบ

GoDaddy ไม่ได้บอกว่าช่องโหว่คืออะไรGoDaddy ไม่ได้บอกว่านี่เป็นช่องโหว่ใหม่หรือเป็นช่องโหว่จากเดือนตุลาคม 2019 ที่อธิบายข้างต้น

GoDaddy ไม่ได้ระบุว่าไซต์ใดมีการเปลี่ยนแปลงไฟล์หรือไม่

ตามรายงานใน Threatpost การละเมิดความปลอดภัยนี้ส่งผลกระทบต่อบัญชีโฮสติ้ง 28,000 บัญชี

GoDaddy รีเซ็ตรหัสผ่าน

GoDaddy ส่งอีเมลถึงลูกค้าที่ได้รับผลกระทบเพื่อแจ้งให้ทราบว่ารหัสผ่านของพวกเขาถูกเปลี่ยนอีเมลมีลิงก์ไปยังขั้นตอนที่ต้องปฏิบัติตามเพื่อรีเซ็ตรหัสผ่าน

ไซต์ที่โฮสต์ GoDaddy ถูกแฮ็กจำนวนเท่าใด

GoDaddy ไม่ได้ระบุว่าเว็บไซต์ใดถูกแฮ็กหรือไม่อีเมลที่ส่งถึงลูกค้ากล่าวว่า GoDaddy ตรวจพบ “กิจกรรมที่น่าสงสัย” บนเซิร์ฟเวอร์ของลูกค้า

ตาม GoDaddy:

“การสืบสวนพบว่าบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลการเข้าสู่ระบบของคุณที่ใช้ในการเชื่อมต่อกับ SSH ในบัญชีโฮสติ้งของคุณ

เราไม่มีหลักฐานว่ามีการเพิ่มหรือแก้ไขไฟล์ใดๆ ในบัญชีของคุณบุคคลที่ไม่ได้รับอนุญาตถูกบล็อกจากระบบของเรา และเรายังคงตรวจสอบผลกระทบที่อาจเกิดขึ้นในสภาพแวดล้อมของเราต่อไป”

แฮกเกอร์เข้าถึงได้อย่างไร?

GoDaddy ไม่ได้ให้ข้อมูลว่าแฮกเกอร์เข้าถึงข้อมูลรับรองการเข้าสู่ระบบ SSH ได้อย่างไรอย่างไรก็ตาม GoDaddy ได้ส่งอีเมลไปยังลูกค้าที่ถูกบุกรุกเพื่อแจ้งให้ทราบว่ามีการรีเซ็ตรหัสผ่านแล้ว

การอ้างอิง

อ่านอีเมลของ GoDaddy ให้กับลูกค้าที่ได้รับผลกระทบ โดยยื่นต่อกระทรวงยุติธรรมแคลิฟอร์เนีย

สามารถดาวน์โหลดเอกสาร PDF ได้จากกระทรวงยุติธรรมแคลิฟอร์เนีย: อีเมล SSH สำหรับลูกค้า

แหล่งข้อมูลเพิ่มเติม

  1. การรักษาความปลอดภัยของเว็บไซต์ส่งผลต่อ SEO ของคุณอย่างไร?
  2. HTTP หรือ HTTPS?ทำไมคุณถึงต้องการไซต์ที่ปลอดภัย