GoDaddy đang gửi thông báo cho khách hàng để cảnh báo họ về vi phạm bảo mật lưu trữ. GoDaddy mô tả vi phạm bảo mật theo các thuật ngữ mơ hồ khi một cá nhân có được thông tin đăng nhập có thể cung cấp cho tin tặc khả năng tải lên hoặc thay đổi các tệp trang web.
GoDaddy Hosting cam kết trong sáu tháng
Theo Bộ Tư pháp California, vi phạm an ninh xảy ra vào ngày 19 tháng 10 năm 2019 và được báo cáo khoảng sáu tháng sau khi 3 Tháng 5 năm 2020.
Ảnh chụp màn hình từ trang web của Bộ Tư pháp California cho các thông báo vi phạm an ninh.
Vi phạm truy cập SSH
SSH được gọi là Secure Shell. Nó là một giao thức bảo mật được sử dụng để thực thi các lệnh trên máy chủ và cũng để tải lên và thay đổi các tệp.
Nếu kẻ tấn công có quyền truy cập SSH vào một trang web, trang web đó bị xâm phạm.
Nói chung, chỉ người dùng cấp quản trị viên mới có quyền truy cập SSH do những thay đổi lớn có thể được thực hiện đối với các tệp cốt lõi của trang web.
GoDaddy tuyên bố rằng một kẻ tấn công không xác định đã xâm phạm một số máy chủ của nó.
Tuyên bố email chính thức của GoDaddy:
"Cuộc điều tra cho thấy một người không được ủy quyền có quyền truy cập vào thông tin đăng nhập của họ được sử dụng để kết nối với SSH trên tài khoản lưu trữ của họ."
SSH đã cam kết như thế nào?
Theo GoDaddy, sự tham gia trên SSH bắt đầu vào tháng 10 năm 2019 và được phát hiện vào tháng 4 năm 2020.
Ngoài tuyên bố chung về thời điểm vi phạm xảy ra và có liên quan đến SSH, GoDaddy dường như không tiết lộ bất kỳ thông tin bổ sung nào.
- GoDaddy không nói nếu đây là một lỗ hổng mới.
- GoDaddy đã không nói nếu đó là từ một lỗ hổng đã biết từ tháng 10 năm 2019 chưa được sửa chữa.
Điều duy nhất GoDaddy thừa nhận là các máy chủ đã bị xâm nhập bởi một bên thứ ba vào tháng 10 năm 2019 và không bị phát hiện trong sáu tháng.
Lỗ hổng SSH vào tháng 10
Tìm kiếm lỗ hổng SSH cho thấy lỗ hổng nghiêm trọng được phát hiện trong OpenSSH 7.7 đến 7.9 và trong tất cả các phiên bản OpenSSH 8 cho đến khi 8.1.
Lỗ hổng trong OpenSSH đã được sửa vào ngày 09/10/2019 trong phiên bản 8.1. Ngày đó trùng với ngày tháng 10 năm 2019 mà GoDaddy xác nhận là ngày máy chủ lưu trữ của họ bị xâm phạm.
GoDaddy chưa xác nhận liệu những điều trên có phải là lỗ hổng hay không.
Báo cáo được lưu trữ trong báo cáo của Cơ sở dữ liệu dễ bị tổn thương quốc gia của Chính phủ Hoa Kỳ CVE-2019-16905
Nhưng lỗ hổng đã được SecuriTeam phát hiện và mô tả nơi họ có thông tin đầy đủ.
Đây là mô tả của SecuriTeam:
"Nếu kẻ tấn công tạo trạng thái trong đó" aadlen "+" mã hóa_len "lớn hơn INT_MAX, thì có thể vượt qua kiểm tra thành công …
Bất kỳ chức năng OpenSSH nào có thể phân tích khóa XMSS riêng tư đều dễ bị tổn thương. "
Điều này có nghĩa là người chịu trách nhiệm bảo trì các máy chủ GoDaddy không thể cập nhật lỗ hổng và các máy chủ vẫn chưa được cập nhật cho đến tháng 4 năm 2020.
Nhưng chúng tôi không có cách nào để biết chắc chắn những gì đã xảy ra. GoDaddy không mô tả lý do tại sao vi phạm an ninh không được phát hiện trong sáu tháng.
GoDaddy bỏ qua chi tiết khai thác
GoDaddy không nói lỗ hổng là gì. GoDaddy không cho biết đây là lỗ hổng mới hay đây là lỗ hổng tháng 10 năm 2019 được mô tả ở trên.
GoDaddy không cho biết nếu có bất kỳ trang web nào đã thay đổi tệp của họ.
Theo báo cáo trên Threatpost, vi phạm bảo mật này đã ảnh hưởng đến 28.000 tài khoản lưu trữ.
GoDaddy đặt lại mật khẩu
GoDaddy đã gửi email đến các khách hàng bị ảnh hưởng để thông báo cho họ rằng mật khẩu của họ đã bị thay đổi. Email có một liên kết đến các thủ tục để làm theo để thiết lập lại mật khẩu.
Có bao nhiêu trang web được lưu trữ trên Godaddy bị hack?
GoDaddy không cho biết có trang web nào bị hack hay không. Email được gửi cho khách hàng nói rằng GoDaddy đã phát hiện "hoạt động đáng ngờ" trên máy chủ của khách hàng.
Theo GoDaddy:
"Cuộc điều tra cho thấy một người không được ủy quyền có quyền truy cập vào thông tin đăng nhập của họ được sử dụng để kết nối với SSH trên tài khoản lưu trữ của họ.
Chúng tôi không có bằng chứng cho thấy bất kỳ tệp nào đã được thêm hoặc sửa đổi trong tài khoản của bạn. Cá nhân trái phép đã bị chặn khỏi hệ thống của chúng tôi và chúng tôi tiếp tục điều tra tác động tiềm tàng đối với môi trường của chúng tôi. "
Làm thế nào tin tặc có được quyền truy cập?
GoDaddy không cung cấp thông tin về cách tin tặc có quyền truy cập vào thông tin đăng nhập SSH. Tuy nhiên, GoDaddy đã gửi email đến các khách hàng bị xâm nhập thông báo cho họ rằng mật khẩu của họ đã được đặt lại.
Trích dẫn
Đọc email của GoDaddy cho các khách hàng bị ảnh hưởng đã nộp cho Bộ Tư pháp California
Tài liệu PDF có thể được tải xuống từ Bộ Tư pháp California: Email khách hàng SSH
Nhiêu tai nguyên hơn
- Làm thế nào để bảo mật trang web ảnh hưởng đến SEO của bạn?
- HTTP hay HTTPS? Tại sao bạn cần một trang web an toàn
