En novembre 2021, GoDaddy a annoncé qu’un attaquant inconnu avait obtenu un accès non autorisé au système utilisé pour servir ses sites WordPress gérés, affectant jusqu’à 1,2 million de clients WordPress.
Notez que ce chiffre n’inclut pas le nombre de clients sur les sites web affectés par cette violation, et certains clients GoDaddy possèdent plus d’un site web sur leurs comptes.
Selon le rapport [1], les attaquants ont obtenu l’accès pour la première fois le 6 septembre 2021 en utilisant un mot de passe compromis et ont été découverts lors du blocage de l’accès le 17 novembre 2021. Bien que l’entreprise ait immédiatement pris des mesures d’atténuation, l’attaquant a eu plus de deux mois pour établir une persistance. Toute personne utilisant actuellement le produit WordPress géré de GoDaddy doit présumer une compromission jusqu’à ce qu’elle puisse confirmer le contraire.
Il semble que GoDaddy ait enregistré les identifiants sFTP soit en texte clair, soit dans un format pouvant être converti en texte clair. Ils ont procédé ainsi au lieu d’utiliser un hash salé ou une clé publique, considérés comme la meilleure pratique du secteur pour sFTP. Cela a donné à l’attaquant un accès direct aux données d’accès par mot de passe sans avoir à les craquer.
Selon son rapport déposé auprès de la SEC, « les noms d’utilisateur et mots de passe sFTP et de base de données ont été attribués à des clients actifs ».
À quoi l’attaquant a-t-il eu accès ?
Le dépôt auprès de la SEC révèle que l’attaquant a accédé aux adresses e-mail et aux numéros de client des utilisateurs, au mot de passe administrateur WordPress original défini lors du déploiement, ainsi qu’aux clés SSL privées. Tout cela pourrait être utile à un attaquant, mais un point ressort en particulier :
Du 6 septembre 2021 au 17 novembre 2021, l’attaquant a accédé aux noms d’utilisateur et mots de passe sFTP et de base de données des clients actifs.
GoDaddy a stocké les mots de passe sFTP de telle manière que les versions en texte clair peuvent être récupérées, au lieu de stocker des hashes salés de ces mots de passe ou de fournir une authentification par clé publique, deux approches considérées comme les meilleures pratiques de l’industrie.
GoDaddy semble confirmer qu’il a également stocké les mots de passe de base de données en texte clair ou dans un format réversible. Ceux-ci sont également accessibles via son interface utilisateur. Malheureusement, enregistrer les mots de passe de base de données en texte clair est courant dans un environnement WordPress, où le mot de passe est enregistré sous forme de texte dans le fichier wp-config.php. Ce qui est plus surprenant dans cette violation, c’est que le mot de passe qui permet l’accès en lecture/écriture à l’ensemble du système de fichiers via sFTP soit stocké en texte clair.
Que pourrait faire un attaquant avec ces informations ?
Bien que le dépôt auprès de la SEC souligne le risque potentiel de phishing dû à l’exposition des adresses e-mail et des numéros de client, le risque associé est minime par rapport à l’impact potentiel des mots de passe sFTP et de base de données exposés.
Bien que GoDaddy ait immédiatement réinitialisé les mots de passe sFTP et de base de données pour tous les sites affectés, l’attaquant a eu accès pendant près d’un mois pour prendre le contrôle de ces sites en téléchargeant des logiciels malveillants ou en ajoutant un administrateur malveillant. Cela permettrait à l’attaquant de maintenir la persistance et de contrôler les sites même après le changement des mots de passe.
De plus, avec l’accès à la base de données, l’attaquant aurait accès à des informations sensibles, y compris les données personnelles des clients du site web stockées dans les bases de données des sites web affectés, et aurait potentiellement pu extraire intégralement le contenu de toutes les bases de données affectées. Cela inclut des informations telles que les hashes de mot de passe stockés dans les bases de données de comptes utilisateurs WordPress des sites concernés ainsi que les informations clients des sites de commerce électronique.
Un attaquant pourrait similairement prendre le contrôle de sites qui n’ont pas changé leur mot de passe administrateur par défaut, mais il lui serait plus facile d’utiliser son accès sFTP et à la base de données pour le faire aisément.
Sur les pages où la clé SSL privée a été divulguée, un attaquant pourrait déchiffrer le trafic de données avec la clé SSL privée volée s’il parvenait à mener avec succès une attaque de type Man-in-the-Middle sur le trafic chiffré entre un visiteur du site et une entité affectée.
Que dois-je faire si j’ai un site géré par GoDaddy ?
GoDaddy contactera les clients affectés dans les prochains jours. En attendant, étant donné la gravité du problème et les données auxquelles l’attaquant a eu accès, nous recommandons à tous les utilisateurs de WordPress géré de présumer qu’ils ont été compromis et de prendre les mesures suivantes :
Si vous exploitez un site de commerce électronique ou détenez des informations personnelles et que GoDaddy a vérifié que vous avez été touché par la violation, vous devrez peut-être notifier vos clients.
Veuillez vous renseigner sur les exigences réglementaires dans votre juridiction et assurez-vous de respecter ces exigences.
Changez vos mots de passe WordPress et, si possible, forcez une réinitialisation des mots de passe pour vos utilisateurs ou clients WordPress.
Comme l’attaquant a eu accès aux hashes de mot de passe dans chaque base de données WordPress affectée, il pourrait potentiellement craquer ces mots de passe et les utiliser sur les sites web affectés.
Changez tout mot de passe réutilisé et conseillez à vos utilisateurs ou clients de faire de même.
L’attaquant pourrait utiliser les identifiants extraits des sites web affectés pour accéder à d’autres services avec le même mot de passe. Par exemple, si l’un de vos clients utilise la même adresse e-mail et le même mot de passe sur votre site web que pour son compte Gmail, l’attaquant pourrait craquer le Gmail de ce client dès qu’il aurait craqué son mot de passe.
Si possible, activez l’authentification à deux facteurs.
Le plugin WordFence [2] propose cela comme une fonctionnalité gratuite pour les sites WordPress, et la plupart des autres services offrent une option pour l’authentification à deux facteurs.
Vérifiez votre site à la recherche de comptes administrateur non autorisés.
Scannez votre site web à la recherche de logiciels malveillants avec un scanner de sécurité.
Vérifiez le système de fichiers de votre site, y compris wp-content/plugins et wp-content/mu-plugins, pour tout plugin inattendu ou plugin n’apparaissant pas dans le menu des plugins, car il est possible d’utiliser des plugins légitimes pour maintenir un accès non autorisé.
Soyez attentif aux e-mails de phishing suspects. Un attaquant pourrait encore utiliser les e-mails et numéros de client extraits pour obtenir d’autres informations sensibles auprès des victimes de cette compromission.
Résumé
La violation de données de GoDaddy Managed WordPress est susceptible d’avoir des conséquences considérables. L’offre Managed WordPress de GoDaddy représente une part importante de l’écosystème WordPress, affectant à la fois les propriétaires de sites et leurs clients. Le dépôt auprès de la SEC indique que « jusqu’à 1,2 million de clients Managed WordPress actifs et inactifs » ont été concernés. Les clients de ces sites sont également très probablement affectés, ce qui rend le nombre de personnes touchées bien plus important.
Pour l’instant, toute personne utilisant l’offre Managed WordPress de GoDaddy devrait présumer que ses sites ont été compromis jusqu’à ce que plus d’informations soient disponibles, et suivre les étapes que nous avons fournies dans cet article. Nous mettrons à jour l’article si davantage d’informations deviennent disponibles.
Sources :
Rapport SEC de GoDaddy : https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence :
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Remarque : Tous les logos, noms de produits et marques de commerce sont la propriété de leurs détenteurs respectifs aux États-Unis et/ou dans d’autres pays. Tous les noms d’entreprises, de produits et de services utilisés sur cette page sont à des fins d’identification uniquement. L’utilisation de ces noms, logos et marques de commerce n’implique aucune approbation.
