Sitemap

GoDaddy Barındırma İhlali 6 Ay Boyunca Tespit Edilmedi

GoDaddy, müşterilere bir barındırma güvenlik ihlali konusunda onları uyarmak için bildirimler gönderiyor.Güvenlik ihlali, GoDaddy tarafından, bilgisayar korsanına web sitesi dosyalarını yükleme veya değiştirme yeteneği vermiş olabilecek oturum açma bilgilerini elde eden bir kişi olarak belirsiz terimlerle tanımlanmaktadır.

GoDaddy Barındırma Altı Ay Boyunca Tehlikede

California Adalet Bakanlığı'na göre, güvenlik ihlali 19 Ekim 2019'da gerçekleşti ve yaklaşık altı ay sonra 3 Mayıs 2020'de bildirildi.

Güvenlik ihlali duyuruları için Kaliforniya Eyaleti Adalet Bakanlığı web sayfasından ekran görüntüsü.

SSH Erişim İhlali

SSH, Güvenli Kabuk olarak bilinir.Dosyaları yüklemek ve değiştirmek için bir sunucuda komutları yürütmek için kullanılan güvenli bir protokoldür.

Bir saldırganın bir web sitesine SSH erişimi varsa, web sitesinin güvenliği ihlal edilir.

Genel olarak, bir web sitesinin çekirdek dosyalarında yapılabilecek geniş kapsamlı değişiklikler nedeniyle yalnızca yönetici düzeyindeki kullanıcılar SSH erişimine sahip olmalıdır.

GoDaddy, bilinmeyen bir saldırganın bazı sunucularının güvenliğini ihlal ettiğini duyurdu.

Resmi GoDaddy e-posta beyanı:

"Soruşturma, yetkisiz bir kişinin barındırma hesabınızda SSH'ye bağlanmak için kullanılan giriş bilgilerinize erişimi olduğunu buldu."

SSH'nin Güvenliği Nasıl Bozuldu?

GoDaddy'ye göre SSH'deki uzlaşma Ekim 2019'da başladı ve Nisan 2020'de keşfedildi.

İhlalin ne zaman gerçekleştiğine ve SSH ile bir ilgisi olduğuna dair genel açıklamanın ötesinde, GoDaddy daha fazla bilgi ifşa etmiş görünmüyor.

  • GoDaddy, bunun yeni bir güvenlik açığı olup olmadığını söylemez.
  • GoDaddy, yama uygulanmamış olan Ekim 2019'daki bilinen bir güvenlik açığından kaynaklanıp kaynaklanmadığını söylemedi.

GoDaddy'nin kabul ettiği tek şey, Ekim 2019'da sunucuların güvenliğinin üçüncü bir tarafça ele geçirildiği ve altı ay boyunca tespit edilmediğiydi.

Ekim SSH Güvenlik Açığı

SSH güvenlik açıkları için yapılan bir arama, OpenSSH 7.7'den 7.9'a ve OpenSSH 8'in 8.1'e kadar tüm sürümlerinde ciddi bir güvenlik açığı keşfedildiğini gösteriyor.

OpenSSH'deki güvenlik açığı, 8.1 sürümünde 10/09/2019 düzeltildi.Bu tarih, GoDaddy'nin barındırma sunucularının güvenliğinin ihlal edildiği tarih olarak onayladığı Ekim 2019 tarihine denk geliyor.

GoDaddy, yukarıdaki güvenlik açığı olup olmadığını doğrulamadı.

Rapor, Amerika Birleşik Devletleri Hükümeti Ulusal Güvenlik Açığı Veritabanı raporunda dosyalanmıştır CVE-2019-16905

Ancak güvenlik açığı SecuriTeam tarafından keşfedildi ve tam bir açıklama yaptıkları yerde açıklandı.

Bu SecuriTeam açıklamasıdır:

“Bir saldırgan, 'aadlen' + 'encrypted_len'in INT_MAX'ten daha büyük olduğu bir durum oluşturursa, doğrulamayı başarıyla geçmek mümkündür…

Özel XMSS anahtarını ayrıştırabilen herhangi bir OpenSSH işlevi savunmasızdır."

Yukarıdaki, GoDaddy'nin Ekim 2019'da başladığını söylediği GoDaddy'yi etkileyen SSH güvenlik açığı ise, bu, GoDaddy sunucularının bakımından sorumlu olan kişinin güvenlik açığını güncelleyemediği ve sunucuların Nisan 2020'ye kadar yamasız kaldığı anlamına gelebilir.

Ama ne olduğunu kesin olarak bilmemize imkan yok.GoDaddy, güvenlik ihlalinin neden altı ay boyunca tespit edilemediğini açıklamadı.

GoDaddy, Exploit'in Ayrıntılarını Atlıyor

GoDaddy güvenlik açığının ne olduğunu söylemedi.GoDaddy, bunun yeni bir güvenlik açığı mı yoksa yukarıda açıklanan Ekim 2019'dan gelen bir güvenlik açığı mı olduğunu söylemedi.

GoDaddy, herhangi bir sitenin dosyalarını değiştirip değiştirmediğini belirtmedi.

Threatpost'taki bir rapora göre, bu güvenlik ihlali 28.000 barındırma hesabını etkiledi.

GoDaddy Şifreleri Sıfırlar

GoDaddy, etkilenen müşterilere parolalarının değiştirildiğini bildirmek için bir e-posta gönderdi.E-postada, şifreyi sıfırlamak için izlenecek prosedürlere bir bağlantı vardır.

Kaç GoDaddy Barındırılan Site Hacklendi?

GoDaddy, herhangi bir web sitesinin saldırıya uğradığını belirtmedi.Müşterilere gönderilen e-posta, GoDaddy'nin müşterilerinin sunucularında "şüpheli etkinlik" tespit ettiğini söyledi.

GoDaddy'ye göre:

"Soruşturma, yetkisiz bir kişinin barındırma hesabınızda SSH'ye bağlanmak için kullanılan giriş bilgilerinize erişimi olduğunu buldu.

Hesabınıza herhangi bir dosyanın eklendiğine veya değiştirildiğine dair hiçbir kanıtımız yok.Yetkisiz kişi sistemlerimizden engellendi ve çevremizdeki olası etkileri araştırmaya devam ediyoruz."

Hackerlar Nasıl Erişim Kazandı?

GoDaddy, bilgisayar korsanlarının SSH oturum açma kimlik bilgilerine nasıl eriştiği hakkında hiçbir bilgi vermedi.Ancak GoDaddy, güvenliği ihlal edilmiş müşterilere parolalarının sıfırlandığını bildiren bir e-posta gönderdi.

Alıntı

Etkilenen müşterilere GoDaddy E-postasını okuyun, California Adalet Bakanlığı'na başvurun

PDF Belgesi California Adalet Bakanlığı'ndan indirilebilir: Müşteriler için SSH E-postası

Daha fazla kaynak

  1. Web Sitesi Güvenliği SEO'nuzu Nasıl Etkiler?
  2. HTTP veya HTTPS?Neden Güvenli Bir Siteye İhtiyacınız Var?