GoDaddy отправляет уведомления клиентам, чтобы предупредить их о нарушении безопасности хостинга. В неопределенных терминах GoDaddy описывает нарушение безопасности как личность, получающую информацию для входа в систему, которая могла бы дать хакеру возможность загружать или изменять файлы веб-сайта.
GoDaddy Hosting совершил на полгода
Согласно данным Министерства юстиции Калифорнии, нарушение правил безопасности произошло 19 октября 2019 года, о чем было сообщено примерно через шесть месяцев 3 мая 2020 года.
Снимок экрана с сайта Министерства юстиции Калифорнии для объявлений о нарушениях безопасности.
Нарушение доступа по SSH
SSH известен как Secure Shell. Это безопасный протокол, который используется для выполнения команд на сервере, а также для загрузки и изменения файлов.
Если у злоумышленника есть SSH-доступ к веб-сайту, он подвергается риску.
В целом, только пользователи уровня администратора должны иметь доступ по SSH из-за обширных изменений, которые могут быть внесены в основные файлы веб-сайта.
GoDaddy объявил, что неизвестный злоумышленник скомпрометировал некоторые из своих серверов.
GoDaddy Официальное заявление по электронной почте:
«Расследование показало, что неавторизованный человек имел доступ к своей регистрационной информации, используемой для подключения к SSH на своей учетной записи хостинга».
Как был принят SSH?
По словам GoDaddy, взаимодействие по SSH началось в октябре 2019 года и было обнаружено в апреле 2020 года.
Помимо общего заявления о том, когда произошло нарушение и что оно имеет какое-то отношение к SSH, GoDaddy, по-видимому, не раскрыл никакой дополнительной информации.
- GoDaddy не говорит, если это новая уязвимость.
- GoDaddy не сказал, было ли это из-за известной уязвимости с октября 2019 года, которая не была исправлена.
Единственное, что признал GoDaddy, это то, что серверы были взломаны третьей стороной в октябре 2019 года и оставались незамеченными в течение шести месяцев.
Уязвимость SSH в октябре
Поиск уязвимостей SSH показывает, что серьезная уязвимость была обнаружена в OpenSSH 7.7–7.9 и во всех версиях OpenSSH 8–8.1.
Уязвимость в OpenSSH была исправлена 09/10/2019 в версии 8.1. Эта дата совпадает с датой октября 2019 года, которую GoDaddy подтвердил как дату, когда их хост-серверы были взломаны.
GoDaddy не подтвердил, является ли вышеуказанная уязвимость уязвимой.
Отчет заархивирован в отчете Национальной базы данных уязвимостей правительства США CVE-2019-16905
Но уязвимость была обнаружена и описана SecuriTeam, где они имеют полное раскрытие.
Это описание SecuriTeam:
«Если злоумышленник генерирует состояние, в котором« aadlen »+« encrypted_len »больше, чем INT_MAX, тогда можно успешно пройти проверку …
Любая функциональность OpenSSH, которая может анализировать закрытый ключ XMSS, уязвима ".
Это может означать, что лицо, отвечающее за обслуживание серверов GoDaddy, не смогло обновить уязвимость, и серверы оставались не исправленными до апреля 2020 года.
Но мы не можем точно знать, что произошло. GoDaddy не описал, почему нарушение безопасности не было обнаружено в течение шести месяцев.
GoDaddy пропускает детали эксплойта
GoDaddy не сказал, что это за уязвимость. GoDaddy не сказал, является ли это новой уязвимостью или уязвимостью октября 2019 года, описанной выше.
GoDaddy не указал, если какие-либо сайты изменили свои файлы.
Согласно сообщению на Threatpost, это нарушение безопасности затронуло 28 000 учетных записей хостинга.
GoDaddy сбрасывает пароли
GoDaddy отправил электронное письмо пострадавшим клиентам, чтобы сообщить им, что их пароли были изменены. В письме есть ссылка на процедуры, которые необходимо выполнить для сброса пароля.
Сколько сайтов на Хэдэдди взломано?
GoDaddy не указал, был ли взломан какой-либо сайт. В письме, отправленном клиентам, говорится, что GoDaddy обнаружил «подозрительную активность» на серверах своих клиентов.
По словам GoDaddy:
«Расследование показало, что неавторизованный человек имел доступ к своей регистрационной информации, используемой для подключения к SSH, на своей учетной записи хостинга.
У нас нет доказательств того, что какие-либо файлы были добавлены или изменены в вашем аккаунте. Несанкционированное лицо было заблокировано нашими системами, и мы продолжаем расследовать потенциальное воздействие на нашу окружающую среду ".
Как хакеры получили доступ?
GoDaddy не предоставил информацию о том, как хакеры получили доступ к учетным данным SSH. Однако GoDaddy отправил скомпрометированным клиентам электронное письмо с уведомлением о том, что их пароли были сброшены.
цитирование
Прочитайте письмо GoDaddy для пострадавших клиентов, поданное в Министерство юстиции Калифорнии
Документ в формате PDF можно загрузить в Департаменте юстиции Калифорнии: электронная почта клиента SSH
Больше ресурсов
- Как безопасность сайта влияет на ваш SEO?
- HTTP или HTTPS? Зачем вам нужен безопасный сайт
