İnternette İstediğiniz Gibi Çevrimiçi Para Kazanma!
Blogs

GoDaddy Hosting İhlali 6 ay boyunca tespit edilmedi

Şu an okuyorsunuz: GoDaddy Hosting İhlali 6 ay boyunca tespit edilmedi

GoDaddy, müşterilere bir barındırma güvenliği ihlali konusunda uyarmak için bildirimler gönderiyor. GoDaddy, güvenlik ihlallerini belirsiz bir şekilde, bilgisayar korsanına web sitesi dosyalarını yükleme veya değiştirme yeteneği verebilecek giriş bilgileri edinen bir birey olarak tanımlar.

GoDaddy Hosting altı ay boyunca taahhütte bulundu

Kaliforniya Adalet Bakanlığı’na göre, güvenlik ihlali 19 Ekim 2019’da meydana geldi ve yaklaşık altı ay sonra 3 Mayıs 2020’de bildirildi.

Güvenlik ihlali duyuruları için Kaliforniya Adalet Bakanlığı web sitesinden ekran görüntüsü.

SSH Erişim İhlali

SSH, Güvenli Kabuk olarak bilinir. Sunucudaki komutları yürütmek ve ayrıca dosyaları yüklemek ve değiştirmek için kullanılan güvenli bir protokoldür.

Saldırganın bir web sitesine SSH erişimi varsa, web sitesinin güvenliği ihlal edilir.

Genel olarak, bir web sitesinin temel dosyalarında yapılabilecek kapsamlı değişiklikler nedeniyle yalnızca yönetici düzeyindeki kullanıcıların SSH erişimi olmalıdır.

GoDaddy, bilinmeyen bir saldırganın sunucularının bazılarını tehlikeye attığını açıkladı.

GoDaddy Resmi E-posta Bildirimi:

“Soruşturma, yetkisiz bir kişinin, barındırma hesaplarında SSH’ye bağlanmak için kullanılan giriş bilgilerine erişebildiğini buldu.”

SSH nasıl işlendi?

GoDaddy’ye göre, SSH’ye katılım Ekim 2019’da başladı ve Nisan 2020’de keşfedildi.

İhlalin ne zaman gerçekleştiğine ve SSH ile bir ilgisi olduğuna dair genel ifadenin ötesinde, GoDaddy herhangi bir ek bilgi açıklamamıştır.

  • GoDaddy, bunun yeni bir güvenlik açığı olup olmadığını söylemez.
  • GoDaddy, Ekim 2019’dan beri bilinen ve düzeltilmemiş bir güvenlik açığından kaynaklanmadığını söylemedi.

GoDaddy’nin itiraf ettiği tek şey, sunucuların Ekim 2019’da üçüncü bir şahıs tarafından ele geçirilmiş olması ve altı ay boyunca tespit edilmemiş olmasıydı.

Ekim ayında SSH güvenlik açığı

SSH güvenlik açıkları için yapılan bir arama, OpenSSH 7.7 ila 7.9 ve OpenSSH 8 ila 8.1’in tüm sürümlerinde ciddi bir güvenlik açığının bulunduğunu göstermektedir.

OpenSSH’deki güvenlik açığı 8.1 sürümünde 09/10/2019 düzeltildi. Bu tarih, GoDaddy’nin barındırma sunucularının güvenliği ihlal edildiği tarih olarak onayladığı Ekim 2019 tarihine denk geliyor.

GoDaddy, yukarıdakilerin güvenlik açığı olup olmadığını onaylamadı.

Rapor, ABD Hükümeti’nin Ulusal Güvenlik Açığı Veritabanı CVE-2019-16905’in raporunda arşivlendi

Ancak güvenlik açığı, SecuriTeam tarafından tam olarak ifşa edildikleri yerlerde keşfedilmiş ve tanımlanmıştır.

SecuriTeam açıklaması:

“Saldırgan” aadlen “+” şifrelenmiş_len “in INT_MAX değerinden daha büyük olduğu bir durum oluşturursa, denetimi başarıyla geçmek mümkündür …

Özel XMSS anahtarını ayrıştırabilen tüm OpenSSH işlevleri güvenlik açığından etkilenir. “

Bu, GoDaddy sunucularını korumakla sorumlu olan kişinin bu güvenlik açığını güncelleyemediği ve sunucuların Nisan 2020’ye kadar eşleşmeden kaldığı anlamına gelebilir.

Ama ne olduğunu kesin olarak bilmemiz mümkün değil. GoDaddy, güvenlik ihlalinin neden altı ay boyunca tespit edilmediğini açıklamadı.

GoDaddy istismar ayrıntılarını atlar

GoDaddy bu güvenlik açığının ne olduğunu söylemedi. GoDaddy, bunun yeni bir güvenlik açığı mı yoksa yukarıda açıklanan Ekim 2019 güvenlik açığı mı olduğunu söylemedi.

GoDaddy, herhangi bir sitenin dosyalarını değiştirip değiştirmediğini belirtmedi.

Threatpost’taki bir rapora göre, bu güvenlik ihlali 28.000 barındırma hesabını etkiledi.

GoDaddy şifreleri sıfırlar

GoDaddy, etkilenen müşterilere şifrelerinin değiştirildiğini bildirmeleri için bir e-posta gönderdi. E-postanın şifreyi sıfırlamak için izlenecek prosedürlere bir bağlantısı vardır.

Godaddy’de barındırılan kaç site saldırıya uğradı?

GoDaddy, herhangi bir web sitesinin saldırıya uğramış olup olmadığını belirtmedi. İstemcilere gönderilen e-posta, GoDaddy’nin müşterilerinin sunucularında “şüpheli etkinlik” tespit ettiğini söyledi.

GoDaddy’ye göre:

“Soruşturma, yetkisiz bir kişinin, barındırma hesaplarında SSH’ye bağlanmak için kullanılan giriş bilgilerine erişebildiğini buldu.

Hesabınıza herhangi bir dosya eklendiğine veya değiştirildiğine dair hiçbir kanıtımız yok. Yetkisiz kişi sistemlerimizden engellendi ve çevremiz üzerindeki olası etkileri araştırmaya devam ediyoruz. “

Bilgisayar korsanları nasıl erişim elde etti?

GoDaddy, bilgisayar korsanlarının SSH oturum açma kimlik bilgilerine nasıl eriştikleri hakkında bilgi vermedi. Ancak GoDaddy, güvenliği ihlal edilen müşterilere şifrelerinin sıfırlandığını bildiren bir e-posta gönderdi.

alıntı

California Adalet Bakanlığı’na gönderilen etkilenen müşterilere GoDaddy’nin e-postasını okuyun

PDF belgesi Kaliforniya Adalet Bakanlığı’ndan indirilebilir: SSH İstemci E-postası

Diğer kaynaklar

  1. Web sitesi güvenliği SEO’nuzu nasıl etkiler?
  2. HTTP veya HTTPS? Neden güvenli bir siteye ihtiyacınız var?

Size şunları öneriyoruz: