En noviembre de 2021, GoDaddy anunció que un atacante desconocido había obtenido acceso no autorizado al sistema utilizado para servir sus sitios de WordPress administrados, afectando hasta a 1,2 millones de clientes de WordPress.
Tenga en cuenta que esta cifra no incluye el número de clientes en los sitios web afectados por esta vulneración, y algunos clientes de GoDaddy tienen más de un sitio web en sus cuentas.
Según el informe [1], los atacantes obtuvieron acceso por primera vez el 6 de septiembre de 2021 utilizando una contraseña comprometida y fueron descubiertos al bloquearse el acceso el 17 de noviembre de 2021. Si bien la compañía tomó medidas de mitigación de inmediato, el atacante tuvo más de dos meses para establecer persistencia. Cualquier persona que utilice actualmente el producto de WordPress administrado de GoDaddy debe asumir que ha sido comprometido hasta que pueda confirmar lo contrario.
Parece que GoDaddy guardó las credenciales de sFTP como texto plano o en un formato que se puede convertir a texto plano. Lo hicieron en lugar de utilizar un hash con sal o una clave pública, considerada la mejor práctica de la industria para sFTP. Esto le dio al atacante acceso directo a los datos de acceso por contraseña sin necesidad de descifrarlos.
Según su presentación ante la SEC, "se han proporcionado nombres de usuario y contraseñas de sFTP y de bases de datos a clientes activos".
¿A qué tuvo acceso el atacante?
La presentación ante la SEC revela que el atacante accedió a las direcciones de correo electrónico y números de cliente de los usuarios, a la contraseña original del administrador de WordPress establecida en el despliegue, y a las claves SSL privadas. Todo esto podría ser útil para un atacante, pero un punto destaca en particular:
Desde el 6 de septiembre de 2021 hasta el 17 de noviembre de 2021, el atacante accedió a los nombres de usuario y contraseñas de sFTP y de bases de datos de clientes activos.
GoDaddy ha almacenado las contraseñas de sFTP de forma que las versiones en texto plano pueden ser recuperadas, en lugar de almacenar hashes con sal de esas contraseñas o proporcionar autenticación por clave pública, ambas consideradas las mejores prácticas de la industria.
GoDaddy parece confirmar que también ha almacenado las contraseñas de bases de datos en texto plano o en un formato reversible. Estas también son accesibles a través de su interfaz de usuario. Lamentablemente, guardar las contraseñas de bases de datos como texto plano es habitual en un entorno de WordPress, donde la contraseña se guarda como texto en el archivo wp-config.php. Lo más sorprendente de esta vulneración es que la contraseña que permite el acceso de lectura/escritura a todo el sistema de archivos a través de sFTP se almacena como texto plano.
¿Qué podría hacer un atacante con esta información?
Si bien la presentación ante la SEC destaca el riesgo potencial de phishing por la exposición de direcciones de correo electrónico y números de cliente, el riesgo asociado es mínimo en comparación con el posible impacto de las contraseñas de sFTP y de bases de datos expuestas.
Aunque GoDaddy restableció inmediatamente las contraseñas de sFTP y de bases de datos para todos los sitios afectados, el atacante tuvo acceso durante casi un mes para apoderarse de estos sitios subiendo malware o agregando un administrador malicioso. Esto le permitiría al atacante mantener la persistencia y controlar los sitios incluso después de cambiar las contraseñas.
Además, con acceso a las bases de datos, el atacante habría tenido acceso a información sensible, incluyendo datos personales de los clientes del sitio web almacenados en las bases de datos de los sitios afectados, y posiblemente habría podido extraer por completo el contenido de todas las bases de datos afectadas. Esto incluye información como los hashes de contraseñas almacenados en las bases de datos de cuentas de usuario de WordPress de los sitios afectados, así como información de clientes de sitios de comercio electrónico.
De manera similar, un atacante podría obtener el control de los sitios que no han cambiado su contraseña de administrador predeterminada, pero le resultaría más fácil utilizar su acceso de sFTP y de base de datos para hacerlo.
En las páginas donde se ha divulgado la clave SSL privada, un atacante podría descifrar el tráfico de datos con la clave SSL privada robada si lograra ejecutar con éxito un ataque de tipo Man-in-the-Middle sobre el tráfico cifrado entre un visitante del sitio y una entidad afectada.
¿Qué debo hacer si tengo un sitio administrado de GoDaddy?
GoDaddy se pondrá en contacto con los clientes afectados en los próximos días. Mientras tanto, dada la gravedad del problema y los datos a los que tuvo acceso el atacante, recomendamos a todos los usuarios de WordPress administrado que asuman que han sido comprometidos y tomen las siguientes medidas:
Si gestiona un sitio web de comercio electrónico o tiene información personal y GoDaddy ha verificado que ha sufrido una vulneración, es posible que deba notificar a sus clientes sobre la misma.
Infórmese sobre los requisitos regulatorios en su jurisdicción y asegúrese de cumplir con dichos requisitos.
Cambie sus contraseñas de WordPress y, si es posible, fuerce un restablecimiento de contraseña para sus usuarios o clientes de WordPress.
Dado que el atacante tuvo acceso a los hashes de contraseñas en cada base de datos de WordPress afectada, podría potencialmente descifrar estas contraseñas y utilizarlas en los sitios web afectados.
Cambie cualquier contraseña reutilizada y aconseje a sus usuarios o clientes que hagan lo mismo.
El atacante podría utilizar credenciales extraídas de sitios web afectados para acceder a otros servicios con la misma contraseña. Por ejemplo, si uno de sus clientes utiliza la misma dirección de correo electrónico y contraseña en su sitio web que en su cuenta de Gmail, el atacante podría descifrar el Gmail de ese cliente tan pronto como descifrara su contraseña.
Si es posible, active la autenticación de dos factores.
El plugin WordFence [2] ofrece esto como una función gratuita para sitios de WordPress, y la mayoría de los demás servicios ofrecen una opción de autenticación de dos factores.
Compruebe su sitio en busca de cuentas de administrador no autorizadas.
Escanee su sitio web en busca de malware con un escáner de seguridad.
Revise el sistema de archivos de su sitio, incluyendo wp-content/plugins y wp-content/mu-plugins, en busca de plugins inesperados o plugins que no aparezcan en el menú de plugins, ya que es posible utilizar plugins legítimos para mantener un acceso no autorizado.
Esté atento a correos electrónicos de phishing de aspecto sospechoso. Un atacante aún podría utilizar los correos electrónicos y números de cliente extraídos para obtener información sensible adicional de las víctimas de este compromiso.
Resumen
Es probable que la filtración de datos de GoDaddy Managed WordPress tenga consecuencias de gran alcance. La oferta de Managed WordPress de GoDaddy representa una parte significativa del ecosistema de WordPress, afectando tanto a los propietarios de sitios como a sus clientes. La presentación ante la SEC indica que se vieron afectados "hasta 1,2 millones de clientes activos e inactivos de Managed WordPress". Los clientes de esos sitios también se ven afectados muy probablemente, lo que hace que el número de personas afectadas sea mucho mayor.
Por ahora, cualquier persona que utilice la oferta de Managed WordPress de GoDaddy debe asumir que sus sitios han sido comprometidos hasta que haya más información disponible, y seguir los pasos que hemos proporcionado en este artículo. Actualizaremos el artículo si surge más información.
Fuentes:
Informe de GoDaddy ante la SEC: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence:
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Nota: Todos los logotipos, nombres de productos y marcas comerciales son propiedad de sus respectivos dueños en los Estados Unidos y/o en otros países. Todos los nombres de empresas, productos y servicios utilizados en esta página son solo con fines de identificación. El uso de estos nombres, logotipos y marcas comerciales no implica respaldo.
