Ma reggel a GoDaddy nyilvánosságra hozta, hogy egy ismeretlen támadó jogosulatlan hozzáférést kapott a vállalat által menedzselt WordPress webhelyeinek kiépítéséhez használt rendszerhez, ami akár 1,2 millió WordPress ügyfelet is érint. Vegye figyelembe, hogy ez a szám nem tartalmazza az ilyen jogsértés által érintett webhelyek ügyfeleinek számát, és egyes GoDaddy ügyfeleknek több felügyelt WordPress webhelye van a fiókjaikban.
A GoDaddy által a SEC-hez benyújtott jelentés [1] szerint a támadó eredetileg 2021. szeptember 6-án szerzett hozzáférést egy feltört jelszóval, és 2021. november 17-én fedezték fel, amikor is a hozzáférésüket visszavonták. Sajnos mire a vállalat észrevette addig támadónak több mint két hónapjuk volt, így bárki, aki jelenleg a GoDaddy által felügyelt WordPress tárhelyet használja, kompromisszumot kell vállalnia, amíg meg nem erősítik, hogy minden rendben és a tárhelye rnedben van.
Úgy tűnik, hogy a GoDaddy az sFTP hitelesítő adatait egyszerű szövegként vagy egyszerű szöveggé fordítható formátumban tárolta. Ez lehetővé tette a támadó számára, hogy közvetlen hozzáférést biztosítson a jelszó hitelesítő adataihoz anélkül, hogy fel kellett volna törnie őket.
A SEC bejelentésük szerint:„Az aktív ügyfelek esetében az sFTP és az adatbázis felhasználónevei és jelszavai ki voltak téve. „
Mihez férhetett hozzá a támadó?
A SEC-bejelentésben az áll, hogy a támadó hozzáférhetett a felhasználói e-mail címekhez és ügyfélszámokhoz, az eredeti WordPress Admin jelszóhoz, amelyet a telepítéskor állítottak be, és SSL privát kulcsokhoz. Mindezek hasznosak lehetnek a támadók számára, de egy elem különösen kiemelkedik:
A 2021. szeptember 6. és 2021. november 17. között az aktív ügyfelek sFTP és adatbázis felhasználónevei és jelszavai elérhetők voltak a támadó számára.
Úgy tűnik, hogy a GoDaddy elismeri, hogy az adatbázis jelszavait egyszerű szövegként vagy megfordítható formátumban tárolták. Ezek a felhasználói felületükön keresztül is visszakereshetők. Sajnos az adatbázisjelszavak egyszerű szövegként való tárolása teljesen normális a WordPress beállításban, ahol az adatbázis jelszava a wp-config.php fájlban szövegként tárolódik. Ami még meglepőbb ebben a jogsértésben, az, hogy a jelszó, amely olvasási / írási hozzáférést biztosít a teljes fájlrendszerhez az sFTP-n keresztül, egyszerű szövegként tárolódik.
Míg a SEC bejelentés hangsúlyozza a kitett e-mail címek és ügyfélszámok által jelentett potenciális adathalász kockázatot, az ezzel jelentett kockázat minimális a kitett sFTP és az adatbázis jelszavak lehetséges hatásához képest.
Bár a GoDaddy azonnal visszaállította az összes érintett webhely sFTP és adatbázis jelszavát, a támadó közel másfél hónapos hozzáféréssel rendelkezett, amely alatt rosszindulatú programok feltöltésével vagy rosszindulatú rendszergazdai felhasználó hozzáadásával átvehette ezeket a webhelyeket. Ez lehetővé teheti a támadó számára, hogy a jelszavak módosítása után is megtartsa a webhelyek irányítását.
Ezenkívül az adatbázis-hozzáféréssel a támadó hozzáférhetett volna az érintett webhelyek adatbázisaiban tárolt bizalmas információkhoz, beleértve a webhely ügyfél PII (personally identifiable information – személyazonosításra alkalmas adatait), és lehet, hogy képes volt teljes mértékben kinyerni az összes érintett adatbázis tartalmát. Ez magában foglalja az olyan információkat, mint például az érintett webhelyek WordPress felhasználói fiókok adatbázisaiban tárolt jelszó-kivonatok, valamint az e-kereskedelmi webhelyek ügyféladatai.
A támadó hasonlóan átveheti az irányítást azokon a webhelyeken, amelyek nem változtatták meg az alapértelmezett rendszergazdai jelszót, de úgy is átvehetik ha egyszerűen az sFTP-t és az adatbázis-hozzáférést használnak.
Azokon a webhelyeken, ahol az SSL privát kulcs ki volt téve, a támadók visszafejthetik a forgalmat az ellopott SSL privát kulccsal, feltéve, hogy sikeresen végrehajthatnak egy man-in-the-middle (MITM) támadást, amely elfogja a webhely látogatója és az érintett webhely közötti titkosított forgalmat.
Mit tegyek, ha van egy GoDaddy managed WordPress webhelyem?
A GoDaddy a következő napokban értesíti el az érintett ügyfeleket. Időközben, tekintettel a probléma súlyosságára és a támadók által hozzáférhetett adatokra, javaslom, hogy mindenki feltételezze, hogy érintett és tegye meg z alábbi intézkedéseket minél előbb:
- Ha e-kereskedelmi webhelyed van, vagy személyes adatokat tárolsz (személyazonosításra alkalmas adatok), ha kiderül, hogy az oldal érintett akkor előfordulhat, hogy értesítened kell ügyfeleidet a jogsértésről.
- Változtassa meg az összes WordPress jelszavát, és ha lehetséges, kényszerítse a jelszó visszaállítását a WordPress felhasználók vagy ügyfelek számára. Mivel a támadó hozzáférhetett a jelszó-kivonatokhoz minden érintett WordPress adatbázisban, potenciálisan feltörheti és használhatja ezeket a jelszavakat az érintett webhelyeken.
- Módosítsd az újrafelhasznált jelszavakat, és tájékoztassa a felhasználókat vagy az ügyfeleket is erre. A támadó potenciálisan használhatja az érintett webhelyekről kinyert hitelesítő adatokat bármely más szolgáltatás eléréséhez, ahol ugyanazt a jelszót használták.
- Engedélyezd a kétfaktoros hitelesítést, ahol csak lehetséges. A Wordfence plugin ezt ingyenes funkcióként biztosítja a WordPress webhelyek számára, és a legtöbb más biztonsági szolgáltatás lehetőséget kínál a kétfaktoros hitelesítésre.
- Ellenőrizd webhelyed rosszindulatú programok után egy biztonsági szkenner segítségével. (Wordfence vagy Sucuri)
- Ellenőrizd webhelyed fájlrendszerét, beleértve a wp-content / plugins és wp-content /, keress gyanús bővítményeket.
- Keress gyanús e-maileket – az adathalászat továbbra is kockázatot jelent, és a támadó továbbra is felhasználhatja a kivont e-maileket és az ügyfélszámokat, hogy további érzékeny információkat szerezzen az adatbázisban talált felhasználóktól.
- Ha nem vagy biztos a dolgodban akkor kérd az oldalad teljes viszgálatát, ebben tud segítségedre lenni Sucury vagy Wordfence.
Következtetés
A GoDaddy által kezelt WordPress adatsértés valószínűleg messzemenő következményekkel jár. A GoDaddy által menedzselt WordPress kínálata a WordPress ökoszisztéma jelentős részét teszi ki, és ez nemcsak a webhelytulajdonosokat, hanem ügyfeleiket is érinti. A SEC bejelentése szerint „akár 1,2 millió aktív és inaktív kezelt WordPress ügyfél” érintett. Ezeknek a webhelyeknek az ügyfeleit valószínűleg szintén érinti, ami sokkal nagyobbá teszi az érintett emberek számát.
Egyelőre bárki, aki a GoDaddy felügyelt WordPress ajánlatát használja, feltételeznie kell, hogy webhelyei veszélybe kerültek, amíg további információk nem válnak elérhetővé, és kövesse az ebben a cikkben megadott lépéseket. Frissítjük a cikket, ha további információk válnak elérhetővé.
Hivatkozások:
- GoDaddy SEC jelentés: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.html
Forrás: Worfence