GoDaddy 正在向客户发送通知,提醒他们存在托管安全漏洞。 GoDaddy 用模糊的术语将安全漏洞描述为获取登录信息的个人,这可能使黑客能够上传或更改网站文件。
GoDaddy 主机被盗六个月
根据加州司法部的说法,安全漏洞发生在 2019 年 10 月 19 日,大约六个月后的 2020 年 5 月 3 日被报告。
SSH 访问漏洞
SSH 被称为安全外壳。 它是一种安全协议,用于在服务器上执行命令以及上传和更改文件。
如果攻击者拥有对网站的 SSH 访问权限,则该网站将受到威胁。
一般来说,只有管理员级别的用户才应该拥有 SSH 访问权限,因为可以对网站的核心文件进行广泛的更改。
GoDaddy 宣布一个未知的攻击者入侵了他们的一些服务器。
GoDaddy 官方电子邮件声明:
“调查发现,未经授权的个人可以访问您的登录信息,用于在您的主机帐户上连接到 SSH。”
SSH 是如何被入侵的?
根据 GoDaddy 的说法,SSH 的入侵始于 2019 年 10 月,并于 2020 年 4 月被发现。
除了关于违规发生时间以及与 SSH 相关的一般性声明之外,GoDaddy 似乎没有披露任何进一步的信息。
- GoDaddy 没有说明这是否是一个新漏洞。
- GoDaddy 没有说明它是否来自 2019 年 10 月以来未修补的已知漏洞。
GoDaddy 承认的唯一一件事是,服务器在 2019 年 10 月被第三方入侵,并且在六个月内未被发现。
十月 SSH 漏洞
对 SSH 漏洞的搜索表明,在 OpenSSH 7.7 到 7.9 以及所有版本的 OpenSSH 8 到 8.1 中发现了一个严重漏洞。
OpenSSH 中的漏洞已于 2019 年 10 月 9 日在 8.1 版中修复。 该日期与 GoDaddy 确认的 2019 年 10 月日期是其托管服务器遭到入侵的日期相吻合。
GoDaddy 尚未确认上述是否是漏洞。
该报告在美国政府国家漏洞数据库报告中归档 CVE-2019-16905
但是该漏洞是由 SecuriTeam 发现并描述的,他们有一个 全面披露.
这是 SecuriTeam 描述:
“如果攻击者生成的状态‘aadlen’+‘encrypted_len’大于INT_MAX,那么就有可能成功通过验证……
任何可以解析私有 XMSS 密钥的 OpenSSH 功能都是易受攻击的。”
如果 以上是影响 GoDaddy 的 SSH 漏洞,GoDaddy 称该漏洞始于 2019 年 10 月,那么 可能 意味着负责维护 GoDaddy 服务器的人未能更新漏洞,并且这些服务器直到 2020 年 4 月才打补丁。
但我们无法确定到底发生了什么。 GoDaddy 没有描述为什么安全漏洞在六个月内未被发现。
GoDaddy 省略了漏洞利用的详细信息
GoDaddy 没有说明漏洞是什么。 GoDaddy 没有说明这是一个新漏洞,还是上述 2019 年 10 月的漏洞。
GoDaddy 没有说明是否有任何网站更改了文件。
根据一份报告在 威胁帖,此安全漏洞影响了 28,000 个托管帐户。
GoDaddy 重置密码
GoDaddy 向受影响的客户发送了一封电子邮件,让他们知道他们的密码已被更改。 该电子邮件包含一个链接,指向要遵循的程序以重置密码。
有多少 GoDaddy 托管网站被黑?
GoDaddy 没有说明是否有任何网站被黑客入侵。 发送给客户的电子邮件称,GoDaddy 在其客户服务器上检测到“可疑活动”。
根据 GoDaddy 的说法:
“调查发现,未经授权的个人可以访问您用于在您的主机帐户上连接到 SSH 的登录信息。
我们没有证据表明您的帐户中添加或修改了任何文件。 未经授权的个人已被我们的系统阻止,我们将继续调查对我们环境的潜在影响。”
黑客如何获得访问权限?
GoDaddy 没有提供有关黑客如何获得 SSH 登录凭据的信息。 然而,GoDaddy 确实向受感染的客户发送了一封电子邮件,通知他们他们的密码已被重置。
引文
阅读向加州司法部提交的受影响客户的 GoDaddy 电子邮件
PDF 文件可从加州司法部下载: 客户的 SSH 电子邮件
更多资源
- 网站安全如何影响您的 SEO?
- HTTP 还是 HTTPS? 为什么需要安全站点
