GoDaddy Hosting Breach no detectado durante 6 meses

GoDaddy está enviando avisos a los clientes para alertarlos de una violación de seguridad de alojamiento. GoDaddy describe la violación de seguridad en términos vagos como un individuo que obtiene información de inicio de sesión que podría haberle dado al pirata informático la capacidad de cargar o cambiar archivos del sitio web.

GoDaddy Hosting comprometido por seis meses

Seg√ļn el Departamento de Justicia de California, la violaci√≥n de seguridad ocurri√≥ el 19 de octubre de 2019 y se inform√≥ aproximadamente seis meses despu√©s el 3 de mayo de 2020.

Infracción de seguridad no detectada durante seis mesesCaptura de pantalla de la página web del Departamento de Justicia del Estado de California para anuncios de violación de seguridad.

Incumplimiento de acceso SSH

SSH se conoce como Secure Shell. Es un protocolo seguro que se utiliza para ejecutar comandos en un servidor y también para cargar y cambiar archivos.

Si un atacante tiene acceso SSH a un sitio web, el sitio web se ve comprometido.

En general, solo los usuarios de nivel de administrador deben tener acceso SSH debido a los amplios cambios que se pueden realizar en los archivos principales de un sitio web.

GoDaddy anunció que un atacante desconocido había comprometido algunos de sus servidores.

Declaración oficial de correo electrónico de GoDaddy:

"La investigación encontró que una persona no autorizada tenía acceso a su información de inicio de sesión utilizada para conectarse a SSH en su cuenta de hosting".

¬ŅC√≥mo se comprometi√≥ SSH?

Seg√ļn GoDaddy, el compromiso en SSH comenz√≥ en octubre de 2019 y se descubri√≥ en abril de 2020.

Más allá de la declaración general de cuándo ocurrió la violación y que tuvo algo que ver con SSH, GoDaddy no parece haber revelado ninguna información adicional.

  • GoDaddy no dice si esta es una nueva vulnerabilidad.
  • GoDaddy no dijo si era de una vulnerabilidad conocida de octubre de 2019 que no hab√≠a sido reparada.

Lo √ļnico que GoDaddy admiti√≥ fue que los servidores fueron comprometidos por un tercero en octubre de 2019 y no se detect√≥ durante seis meses.

Vulnerabilidad de SSH en octubre

Una b√ļsqueda de vulnerabilidades SSH muestra que se descubri√≥ una vulnerabilidad grave en OpenSSH 7.7 a 7.9 y en todas las versiones de OpenSSH 8 hasta 8.1.

La vulnerabilidad en OpenSSH se corrigió 10/09/2019 en la versión 8.1. Esa fecha coincide con la fecha de octubre de 2019 que GoDaddy confirmó como la fecha en que sus servidores de alojamiento se vieron comprometidos.

GoDaddy no ha confirmado si lo anterior es la vulnerabilidad.

El informe se archiva en el informe de la Base de Datos Nacional de Vulnerabilidad del Gobierno de los Estados Unidos CVE-2019-16905

Pero la vulnerabilidad fue descubierta y descrita por SecuriTeam donde tienen una divulgación completa.

Esta es la descripción de SecuriTeam:

"Si un atacante genera un estado donde" aadlen "+" encrypted_len "es m√°s grande que INT_MAX, entonces es posible pasar la verificaci√≥n con √©xito …

Cualquier funcionalidad de OpenSSH que pueda analizar la clave XMSS privada es vulnerable ".

puede significar que quien estuvo a cargo del mantenimiento de los servidores GoDaddy no pudo actualizar la vulnerabilidad y los servidores quedaron sin parchear hasta abril de 2020.

Pero no tenemos forma de saber con certeza qué sucedió. GoDaddy no describió por qué no se detectó la violación de seguridad durante seis meses.

GoDaddy omite detalles del exploit

GoDaddy no dijo cu√°l era la vulnerabilidad. GoDaddy no dijo si esta es una nueva vulnerabilidad o si es la de octubre de 2019 descrita anteriormente.

GoDaddy no indic√≥ si alg√ļn sitio ha cambiado sus archivos.

Seg√ļn un informe en Threatpost, esta violaci√≥n de seguridad afect√≥ a 28,000 cuentas de hosting.

GoDaddy restablece las contrase√Īas

GoDaddy envi√≥ un correo electr√≥nico a los clientes afectados para informarles que sus contrase√Īas han sido cambiadas. El correo electr√≥nico tiene un enlace a los procedimientos a seguir para restablecer la contrase√Īa.

¬ŅCu√°ntos sitios alojados en GoDaddy pirateados?

GoDaddy no indic√≥ si alg√ļn sitio web fue pirateado. El correo electr√≥nico enviado a los clientes dec√≠a que GoDaddy hab√≠a detectado "actividad sospechosa" en los servidores de sus clientes.

De acuerdo con GoDaddy:

"La investigación encontró que una persona no autorizada tenía acceso a su información de inicio de sesión utilizada para conectarse a SSH en su cuenta de hosting.

No tenemos evidencia de que se hayan agregado o modificado archivos en su cuenta. El individuo no autorizado ha sido bloqueado de nuestros sistemas, y continuamos investigando el impacto potencial en nuestro entorno ".

¬ŅC√≥mo obtuvieron acceso los hackers?

GoDaddy no proporcion√≥ informaci√≥n sobre c√≥mo los piratas inform√°ticos obtuvieron acceso a las credenciales de inicio de sesi√≥n SSH. Sin embargo, GoDaddy envi√≥ un correo electr√≥nico a los clientes comprometidos notific√°ndoles que sus contrase√Īas se han restablecido.

Citación

Lea el correo electrónico de GoDaddy a los clientes afectados, presentado ante el Departamento de Justicia de California

El documento PDF se puede descargar del Departamento de Justicia de California: Correo electrónico de SSH para clientes

M√°s recursos

  1. ¬ŅC√≥mo afecta la seguridad del sitio web a tu SEO?
  2. HTTP o HTTPS? Por qué necesita un sitio seguro