Sitemap

GoDaddy 託管違規 6 個月未檢測到

GoDaddy 正在向客戶發送通知,提醒他們存在託管安全漏洞。GoDaddy 用模糊的術語將安全漏洞描述為獲取登錄信息的個人,這可能使黑客能夠上傳或更改網站文件。

GoDaddy 主機被盜六個月

根據加州司法部的說法,安全漏洞發生在 2019 年 10 月 19 日,大約六個月後的 2020 年 5 月 3 日被報告。

加利福尼亞州司法部網頁的屏幕截圖,用於發布安全漏洞公告。

SSH 訪問漏洞

SSH 被稱為安全外殼。它是一種安全協議,用於在服務器上執行命令以及上傳和更改文件。

如果攻擊者擁有對網站的 SSH 訪問權限,則該網站將受到威脅。

一般來說,只有管理員級別的用戶才應該擁有 SSH 訪問權限,因為可以對網站的核心文件進行廣泛的更改。

GoDaddy 宣布一個未知的攻擊者入侵了他們的一些服務器。

GoDaddy 官方電子郵件聲明:

“調查發現,未經授權的個人可以訪問您的登錄信息,用於在您的主機帳戶上連接到 SSH。”

SSH 是如何被入侵的?

根據 GoDaddy 的說法,SSH 的入侵始於 2019 年 10 月,並於 2020 年 4 月被發現。

除了關於違規發生時間以及與 SSH 有關的一般性聲明之外,GoDaddy 似乎沒有披露任何進一步的信息。

  • GoDaddy 沒有說明這是否是一個新漏洞。
  • GoDaddy 沒有說明它是否來自 2019 年 10 月以來未修補的已知漏洞。

GoDaddy 承認的唯一一件事是,服務器在 2019 年 10 月被第三方入侵,並且在六個月內未被發現。

十月 SSH 漏洞

對 SSH 漏洞的搜索表明,在 OpenSSH 7.7 到 7.9 以及所有版本的 OpenSSH 8 到 8.1 中發現了一個嚴重漏洞。

OpenSSH 中的漏洞已於 2019 年 10 月 9 日在 8.1 版中修復。該日期與 GoDaddy 確認的 2019 年 10 月日期是其託管服務器遭到入侵的日期相吻合。

GoDaddy 尚未確認上述是否是漏洞。

該報告歸檔於美國政府國家漏洞數據庫報告 CVE-2019-16905

但是該漏洞是由 SecuriTeam 發現並描述的,他們對此進行了全面披露。

這是 SecuriTeam 描述:

“如果攻擊者生成‘aadlen’+‘encrypted_len’大於INT_MAX的狀態,那麼就有可能成功通過驗證......

任何可以解析私有 XMSS 密鑰的 OpenSSH 功能都是易受攻擊的。”

如果以上是影響 GoDaddy 的 SSH 漏洞,GoDaddy 稱該漏洞始於 2019 年 10 月,那麼這可能意味著負責維護 GoDaddy 服務器的人未能更新該漏洞,並且服務器直到 2020 年 4 月才打補丁。

但我們無法確定到底發生了什麼。GoDaddy 沒有描述為什麼安全漏洞在六個月內未被發現。

GoDaddy 省略了漏洞利用的詳細信息

GoDaddy 沒有說明漏洞是什麼。GoDaddy 沒有說明這是一個新漏洞,還是上述 2019 年 10 月的漏洞。

GoDaddy 沒有說明是否有任何網站更改了文件。

根據 Threatpost 的一份報告,此安全漏洞影響了 28,000 個託管帳戶。

GoDaddy 重置密碼

GoDaddy 向受影響的客戶發送了一封電子郵件,讓他們知道他們的密碼已被更改。該電子郵件包含一個鏈接,指向要遵循的程序以重置密碼。

有多少 GoDaddy 託管網站被黑?

GoDaddy 沒有說明是否有任何網站被黑客入侵。發送給客戶的電子郵件稱,GoDaddy 在其客戶服務器上檢測到“可疑活動”。

根據 GoDaddy 的說法:

“調查發現,未經授權的個人可以訪問您用於在您的主機帳戶上連接到 SSH 的登錄信息。

我們沒有證據表明您的帳戶中添加或修改了任何文件。未經授權的個人已被我們的系統阻止,我們將繼續調查對我們環境的潛在影響。”

黑客如何獲得訪問權限?

GoDaddy 沒有提供有關黑客如何獲得 SSH 登錄憑據的信息。然而,GoDaddy 確實向受感染的客戶發送了一封電子郵件,通知他們他們的密碼已被重置。

引文

閱讀向加州司法部提交的受影響客戶的 GoDaddy 電子郵件

PDF 文檔可從加利福尼亞司法部下載:客戶的 SSH 電子郵件

更多資源

  1. 網站安全如何影響您的 SEO?
  2. HTTP 還是 HTTPS?為什麼需要安全站點