Im November 2021 gab GoDaddy bekannt, dass ein unbekannter Angreifer unbefugten Zugriff auf das System erlangt hatte, das zum Betrieb seiner Managed-WordPress-Websites genutzt wird – betroffen sind bis zu 1,2 Millionen WordPress-Kunden.
Beachten Sie, dass diese Zahl die Anzahl der Kunden auf den von diesem Verstoß betroffenen Websites nicht einschließt, und einige GoDaddy-Kunden besitzen mehrere Websites über ihre Konten.
Laut Bericht [1] erlangten die Angreifer den Zugriff erstmals am 6. September 2021 mithilfe eines kompromittierten Passworts und wurden durch das Sperren des Zugriffs am 17. November 2021 entdeckt. Obwohl das Unternehmen sofort Schutzmaßnahmen ergriff, hatte der Angreifer mehr als zwei Monate Zeit, um sich dauerhaft festzusetzen. Jeder, der derzeit das Managed-WordPress-Produkt von GoDaddy nutzt, sollte von einer Kompromittierung ausgehen, bis er das Gegenteil bestätigen kann.
Es scheint, dass GoDaddy sFTP-Anmeldedaten entweder als Klartext oder in einem Format gespeichert hat, das in Klartext umgewandelt werden kann. Dies geschah anstelle der Verwendung eines gesalzenen Hashs oder eines öffentlichen Schlüssels, was als branchenüblicher Best-Practice-Standard für sFTP gilt. Damit erhielt ein Angreifer direkten Zugriff auf Passwort-Zugriffsdaten, ohne sie knacken zu müssen.
Laut der SEC-Meldung wurden „sFTP- und Datenbank-Benutzernamen und -Passwörter an aktive Kunden vergeben".
Worauf hatte der Angreifer Zugriff?
Die SEC-Meldung zeigt, dass der Angreifer auf die E-Mail-Adressen und Kundennummern der Benutzer, das ursprüngliche WordPress-Administratorpasswort, das bei der Bereitstellung gesetzt wurde, sowie auf private SSL-Schlüssel zugegriffen hat. All dies könnte für einen Angreifer nützlich sein, aber ein Punkt sticht besonders hervor:
Vom 6. September 2021 bis zum 17. November 2021 hat der Angreifer auf die sFTP- und Datenbank-Benutzernamen und -Passwörter aktiver Kunden zugegriffen.
GoDaddy hat sFTP-Passwörter so gespeichert, dass die Klartextversionen abgerufen werden können, anstatt gesalzene Hashes dieser Passwörter zu speichern oder eine Public-Key-Authentifizierung bereitzustellen – beides sind branchenübliche Best Practices.
GoDaddy scheint zu bestätigen, dass auch Datenbankpasswörter im Klartext oder in einem umkehrbaren Format gespeichert wurden. Diese sind ebenfalls über die Benutzeroberfläche zugänglich. Leider ist das Speichern von Datenbankpasswörtern im Klartext in einer WordPress-Umgebung üblich, da das Passwort als Text in der Datei wp-config.php gespeichert wird. Überraschender an diesem Verstoß ist, dass das Passwort, das Lese-/Schreibzugriff auf das gesamte Dateisystem über sFTP ermöglicht, im Klartext gespeichert ist.
Was könnte ein Angreifer mit diesen Informationen anfangen?
Während die SEC-Meldung das potenzielle Phishing-Risiko durch offengelegte E-Mail-Adressen und Kundennummern hervorhebt, ist das damit verbundene Risiko im Vergleich zu den möglichen Auswirkungen offengelegter sFTP- und Datenbankpasswörter gering.
Obwohl GoDaddy die sFTP- und Datenbankpasswörter für alle betroffenen Websites sofort zurückgesetzt hat, hatte der Angreifer fast einen Monat lang Zugriff, um diese Websites durch das Hochladen von Schadsoftware oder das Hinzufügen eines bösartigen Administrators zu übernehmen. Dies würde es dem Angreifer ermöglichen, die Kontrolle über die Websites auch nach Änderung der Passwörter zu behalten.
Darüber hinaus hätte der Angreifer mit Datenbankzugriff Zugriff auf sensible Informationen, einschließlich personenbezogener Daten von Website-Kunden, die in den Datenbanken der betroffenen Websites gespeichert sind, und hätte möglicherweise die Inhalte aller betroffenen Datenbanken vollständig extrahieren können. Dazu gehören Informationen wie die Passwort-Hashes, die in den WordPress-Benutzerkonten-Datenbanken der betroffenen Websites gespeichert sind, sowie Kundeninformationen von E-Commerce-Websites.
Ein Angreifer könnte auf ähnliche Weise Websites übernehmen, deren Standard-Admin-Passwort nicht geändert wurde, doch es wäre einfacher, dies über den sFTP- und Datenbankzugriff zu erledigen.
Bei Seiten, auf denen der private SSL-Schlüssel offengelegt wurde, könnte ein Angreifer den Datenverkehr mit dem gestohlenen privaten SSL-Schlüssel entschlüsseln, sofern er einen Man-in-the-Middle-Angriff auf den verschlüsselten Datenverkehr zwischen einem Website-Besucher und einer betroffenen Stelle erfolgreich durchführen könnte.
Was sollte ich tun, wenn ich eine GoDaddy Managed Site habe?
GoDaddy wird in den nächsten Tagen die betroffenen Kunden kontaktieren. In der Zwischenzeit empfehlen wir angesichts der Schwere des Problems und der Daten, auf die der Angreifer Zugriff hatte, dass alle Managed-WordPress-Nutzer davon ausgehen, dass sie kompromittiert wurden, und die folgenden Maßnahmen ergreifen:
Wenn Sie eine eCommerce-Website betreiben oder personenbezogene Daten verarbeiten und GoDaddy bestätigt hat, dass Sie betroffen sind, müssen Sie Ihre Kunden möglicherweise über den Verstoß informieren.
Bitte informieren Sie sich über die regulatorischen Anforderungen in Ihrer Rechtsordnung und stellen Sie sicher, dass Sie diese Anforderungen erfüllen.
Ändern Sie Ihre WordPress-Passwörter und erzwingen Sie nach Möglichkeit ein Zurücksetzen der Passwörter für Ihre WordPress-Benutzer oder -Kunden.
Da der Angreifer Zugriff auf die Passwort-Hashes in jeder betroffenen WordPress-Datenbank hatte, könnte er diese Passwörter potenziell knacken und auf den betroffenen Websites verwenden.
Ändern Sie alle wiederverwendeten Passwörter und raten Sie Ihren Nutzern oder Kunden, dasselbe zu tun.
Der Angreifer könnte aus betroffenen Websites extrahierte Anmeldedaten verwenden, um auf andere Dienste mit demselben Passwort zuzugreifen. Verwendet beispielsweise einer Ihrer Kunden dieselbe E-Mail-Adresse und dasselbe Passwort auf Ihrer Website wie für sein Gmail-Konto, könnte der Angreifer das Gmail-Konto dieses Kunden knacken, sobald er dessen Passwort geknackt hat.
Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
Das WordFence-Plugin [2] bietet diese als kostenlose Funktion für WordPress-Websites an, und die meisten anderen Dienste bieten ebenfalls eine Option für die Zwei-Faktor-Authentifizierung.
Überprüfen Sie Ihre Website auf nicht autorisierte Administratorkonten.
Scannen Sie Ihre Website mit einem Sicherheitsscanner auf Schadsoftware.
Überprüfen Sie das Dateisystem Ihrer Website, einschließlich wp-content/plugins und wp-content/mu-plugins, auf unerwartete Plugins oder Plugins, die nicht im Plugin-Menü erscheinen, da es möglich ist, legitime Plugins zur Aufrechterhaltung unbefugten Zugriffs zu missbrauchen.
Seien Sie wachsam gegenüber verdächtig aussehenden Phishing-E-Mails. Ein Angreifer könnte extrahierte E-Mails und Kundennummern weiterhin nutzen, um weitere sensible Informationen von Opfern dieser Kompromittierung zu erlangen.
Zusammenfassung
Die GoDaddy-Managed-WordPress-Datenpanne wird voraussichtlich weitreichende Folgen haben. GoDaddys Managed-WordPress-Angebot macht einen erheblichen Teil des WordPress-Ökosystems aus und betrifft sowohl Website-Betreiber als auch deren Kunden. Die SEC-Meldung besagt, dass „bis zu 1,2 Millionen aktive und inaktive Managed-WordPress-Kunden" betroffen waren. Auch die Kunden dieser Websites sind höchstwahrscheinlich betroffen, was die Zahl der betroffenen Personen erheblich erhöht.
Vorerst sollte jeder, der das Managed-WordPress-Angebot von GoDaddy nutzt, davon ausgehen, dass seine Websites kompromittiert wurden, bis weitere Informationen verfügbar sind, und die in diesem Artikel beschriebenen Schritte befolgen. Wir werden den Artikel aktualisieren, sobald weitere Informationen vorliegen.
Quellen:
GoDaddy SEC-Bericht: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence:
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Hinweis: Alle Logos, Produktnamen und Marken sind Eigentum ihrer jeweiligen Inhaber in den Vereinigten Staaten und/oder anderen Ländern. Alle auf dieser Seite verwendeten Firmen-, Produkt- und Dienstleistungsnamen dienen ausschließlich zur Identifikation. Die Verwendung dieser Namen, Logos und Marken impliziert keine Empfehlung.
