GoDaddy envoie des notifications aux clients pour les alerter d’une violation de la sécurité de l’hébergement. La violation de la sécurité est décrite en termes vagues par GoDaddy comme une personne obtenant des informations de connexion qui auraient pu donner au pirate la possibilité de télécharger ou de modifier des fichiers de site Web.

Hébergement GoDaddy compromis pendant six mois

Selon le ministère de la Justice de Californie, la violation de la sécurité s’est produite le 19 octobre 2019 et a été signalée environ six mois plus tard le 3 mai 2020.

Capture d’écran de la page Web du ministère de la Justice de l’État de Californie pour les annonces de violation de sécurité.

Violation d’accès SSH

SSH est connu sous le nom de Secure Shell. Il s’agit d’un protocole sécurisé utilisé pour exécuter des commandes sur un serveur ainsi que pour télécharger et modifier des fichiers.

Si un attaquant a un accès SSH à un site Web, le site Web est compromis.

En général, seuls les utilisateurs de niveau administrateur doivent avoir un accès SSH en raison des vastes modifications qui peuvent être apportées aux fichiers principaux d’un site Web.

GoDaddy a annoncé qu’un attaquant inconnu avait compromis certains de leurs serveurs.

Déclaration électronique officielle de GoDaddy:

« L’enquête a révélé qu’une personne non autorisée avait accès à vos informations de connexion utilisées pour se connecter à SSH sur votre compte d’hébergement. »

Comment SSH a-t-il été compromis?

Selon GoDaddy, le compromis dans SSH a commencé en octobre 2019 et a été découvert en avril 2020.

Au-delà de la déclaration générale de la date de la violation et de son lien avec SSH, GoDaddy ne semble pas avoir divulgué d’autres informations.

GoDaddy ne dit pas s’il s’agit d’une nouvelle vulnérabilité, ni GoDaddy si elle provenait d’une vulnérabilité connue d’octobre 2019 qui n’avait pas été corrigée.

La seule chose que GoDaddy a admis est que les serveurs ont été compromis par un tiers en octobre 2019 et qu’ils n’ont pas été détectés pendant six mois.

Vulnérabilité SSH d’octobre

Une recherche de vulnérabilités SSH montre qu’une vulnérabilité grave a été découverte dans OpenSSH 7.7 à 7.9 et toutes les versions d’OpenSSH 8 à 8.1.

La vulnérabilité dans OpenSSH a été corrigée le 10/09/2019 dans la version 8.1. Cette date coïncide avec la date d’octobre 2019 que GoDaddy a confirmée comme la date à laquelle leurs serveurs d’hébergement ont été compromis.

GoDaddy n’a pas confirmé si ce qui précède est la vulnérabilité.

Le rapport est déposé dans le rapport CVE-2019-16905 de la base de données nationale sur la vulnérabilité du gouvernement des États-Unis.

Mais la vulnérabilité a été découverte et décrite par SecuriTeam où ils ont une divulgation complète.

Voici la description de SecuriTeam:

« Si un attaquant génère un état où‘ aadlen ’+‘ encrypted_len ’est plus grand que INT_MAX, il est possible de réussir la vérification…

Toute fonctionnalité OpenSSH qui peut analyser une clé XMSS privée est vulnérable. »

Si ce qui précède est la vulnérabilité SSH affectant GoDaddy, qui, selon GoDaddy, a commencé en octobre 2019, cela peut signifier que la personne chargée de la maintenance des serveurs GoDaddy n’a pas mis à jour la vulnérabilité et les serveurs n’ont pas été mis à jour jusqu’en avril 2020.

Mais nous n’avons aucun moyen de savoir avec certitude ce qui s’est passé. GoDaddy n’a pas expliqué pourquoi la violation de la sécurité n’a pas été détectée pendant six mois.

GoDaddy omet les détails de l’exploit

GoDaddy n’a pas dit quelle était la vulnérabilité. GoDaddy n’a pas précisé s’il s’agit d’une nouvelle vulnérabilité ou s’il s’agit de celle d’octobre 2019 décrite ci-dessus.

GoDaddy n’a pas indiqué si des sites avaient vu leurs fichiers modifiés.

Selon un rapport de Threatpost, cette faille de sécurité a touché 28 000 comptes d’hébergement.

GoDaddy réinitialise les mots de passe

GoDaddy a envoyé un e-mail aux clients concernés pour leur faire savoir que leurs mots de passe ont été modifiés. L’e-mail contient un lien vers les procédures à suivre pour réinitialiser le mot de passe.

Combien de sites hébergés GoDaddy piratés?

GoDaddy n’a pas indiqué si des sites Web avaient été piratés. L’e-mail envoyé aux clients indique que GoDaddy a détecté une «activité suspecte» sur les serveurs de leurs clients.

Selon GoDaddy:

«L’enquête a révélé qu’une personne non autorisée avait accès à vos informations de connexion utilisées pour se connecter à SSH sur votre compte d’hébergement.

Nous n’avons aucune preuve que des fichiers ont été ajoutés ou modifiés sur votre compte. L’individu non autorisé a été bloqué de nos systèmes, et nous continuons d’enquêter sur l’impact potentiel sur notre environnement. »

Comment les pirates ont-ils pu accéder?

GoDaddy n’a donné aucune information sur la façon dont les pirates ont obtenu l’accès aux informations de connexion SSH. Cependant, GoDaddy a envoyé un e-mail aux clients compromis leur notifiant que leurs mots de passe ont été réinitialisés.

Citation

Lisez le courrier électronique de GoDaddy aux clients concernés, déposé auprès du California Department of Justice

Le document PDF peut être téléchargé à partir du California Department of Justice: SSH Email for Customers