GoDaddy envoie des avis aux clients pour les avertir d’une faille de sécurité de l’hébergement. La faille de sécurité est décrite en termes vagues par GoDaddy comme une personne obtenant des informations de connexion qui auraient pu donner au pirate la possibilité de télécharger ou de modifier les fichiers du site web.
L’hébergement de GoDaddy compromis pendant six mois
Selon le ministère de la justice de Californie, la faille de sécurité s’est produite le 19 octobre 2019 et a été signalée environ six mois plus tard, le 3 mai 2020.
Capture d’écran de la page web du ministère de la justice de l’État de Californie pour les annonces de failles de sécurité.Violation de l’accès aux SSH
La SSH est connue sous le nom de Secure Shell. C’est un protocole sécurisé utilisé pour exécuter des commandes sur un serveur ainsi que pour télécharger et modifier des fichiers.
Si un agresseur a accès à un site web en SSH, ce site est compromis.
En général, seuls les utilisateurs de niveau administratif devraient avoir un accès SSH en raison des nombreuses modifications qui peuvent être apportées aux fichiers de base d’un site web.
GoDaddy a annoncé qu’un attaquant inconnu avait compromis certains de leurs serveurs.
Déclaration officielle par courriel de GoDaddy :
« L’enquête a révélé qu’une personne non autorisée avait accès à vos informations de connexion utilisées pour vous connecter à SSH sur votre compte d’hébergement ».
Comment les sciences humaines ont-elles été compromises ?
Selon GoDaddy, le compromis en sciences humaines a commencé en octobre 2019 et a été découvert en avril 2020.
Au-delà de l’indication générale du moment où la violation s’est produite et du fait qu’elle avait un rapport avec les sciences humaines, GoDaddy ne semble pas avoir divulgué d’autres informations.
- GoDaddy ne dit pas s’il s’agit d’une nouvelle vulnérabilité.
- GoDaddy n’a pas dit s’il s’agissait d’une vulnérabilité connue d’octobre 2019 qui n’avait pas été corrigée.
La seule chose que M. GoDaddy a admise est que les serveurs ont été compromis par une tierce partie en octobre 2019 et qu’ils sont passés inaperçus pendant six mois.
Octobre Vulnérabilité des SSH
Une recherche des vulnérabilités SSH montre qu’une vulnérabilité sévère a été découverte dans OpenSSH 7.7 à 7.9 et dans toutes les versions d’OpenSSH 8 jusqu’à 8.1.
La vulnérabilité dans OpenSSH a été corrigée le 10/09/2019 dans la version 8.1. Cette date coïncide avec la date d’octobre 2019 que GoDaddy a confirmé comme étant la date à laquelle leurs serveurs d’hébergement ont été compromis.
GoDaddy n’a pas confirmé si ce qui précède est la vulnérabilité.
Le rapport est classé dans le rapport CVE-2019-16905 de la base de données nationale sur la vulnérabilité du gouvernement des États-Unis
Mais la vulnérabilité a été découverte et décrite par SecuriTeam, qui a fait une divulgation complète.
C’est la description de SecuriTeam :
« Si un attaquant génère un état où ‘aadlen’ + ‘encrypted_len’ est plus grand que INT_MAX, alors il est possible de passer la vérification avec succès…
Toute fonctionnalité d’OpenSSH qui peut analyser une clé XMSS privée est vulnérable ».
Si ce qui précède est la vulnérabilité des SSH qui affecte GoDaddy, qui, selon GoDaddy, a commencé en octobre 2019, puis que mai signifie que la personne chargée de la maintenance des serveurs GoDaddy n’a pas réussi à mettre à jour la vulnérabilité et les serveurs sont restés non patchés jusqu’en avril 2020.
Mais nous n’avons aucun moyen de savoir avec certitude ce qui s’est passé. Papa n’a pas expliqué pourquoi la faille de sécurité n’a pas été détectée pendant six mois.
GoDaddy omet les détails de l’exploitation
Papa n’a pas dit quelle était la vulnérabilité. Il n’a pas dit s’il s’agit d’une nouvelle vulnérabilité ou si c’est celle d’octobre 2019 décrite ci-dessus.
GoDaddy n’a pas indiqué si certains sites ont vu leurs fichiers modifiés.
Selon un rapport publié dans Threatpost, cette faille de sécurité a affecté 28 000 comptes d’hébergement.
GoDaddy réinitialise les mots de passe
GoDaddy a envoyé un courriel aux clients concernés pour leur faire savoir que leurs mots de passe avaient été modifiés. Le courriel contient un lien vers les procédures à suivre pour réinitialiser le mot de passe.
Combien de sites hébergés par GoDaddy ont été piratés ?
GoDaddy n’a pas indiqué si des sites web avaient été piratés. Le courriel envoyé aux clients disait que GoDaddy avait détecté une « activité suspecte » sur les serveurs de leurs clients.
Selon GoDaddy :
« L’enquête a révélé qu’une personne non autorisée avait accès à vos informations de connexion utilisées pour vous connecter à SSH sur votre compte d’hébergement.
Nous n’avons aucune preuve que des fichiers aient été ajoutés ou modifiés sur votre compte. La personne non autorisée a été bloquée de nos systèmes, et nous continuons à enquêter sur l’impact potentiel sur notre environnement ».
Comment les pirates informatiques ont-ils obtenu l’accès ?
GoDaddy n’a donné aucune information sur la manière dont les pirates informatiques ont obtenu l’accès aux identifiants de connexion SSH. Toutefois, GoDaddy a envoyé un courrier électronique aux clients compromis pour les informer que leurs mots de passe ont été réinitialisés.
Citation
Lire le courriel GoDaddy envoyé aux clients concernés, déposé auprès du ministère californien de la justice
Le document PDF peut être téléchargé sur le site du ministère de la justice de Californie : Courriel SSH pour les clients
Auteur/autrice
