Nel novembre 2021, GoDaddy ha annunciato che un attaccante sconosciuto aveva ottenuto accesso non autorizzato al sistema utilizzato per servire i suoi siti WordPress gestiti, colpendo fino a 1,2 milioni di clienti WordPress.
Si noti che questo numero non include il numero di clienti sui siti web colpiti da questa violazione, e alcuni clienti GoDaddy possiedono più di un sito web sui loro account.
Secondo il report [1], gli attaccanti hanno ottenuto l’accesso per la prima volta il 6 settembre 2021 utilizzando una password compromessa e sono stati scoperti bloccando l’accesso il 17 novembre 2021. Sebbene l’azienda abbia subito adottato misure di mitigazione, l’attaccante ha avuto più di due mesi per stabilire una presenza persistente. Chiunque utilizzi attualmente il prodotto WordPress gestito di GoDaddy dovrebbe presumere di essere stato compromesso finché non potrà confermare il contrario.
Sembra che GoDaddy abbia salvato le credenziali sFTP sia in testo in chiaro sia in un formato convertibile in testo in chiaro. L’ha fatto invece di utilizzare un hash salato o una chiave pubblica, considerati la best practice del settore per sFTP. Ciò ha fornito all’attaccante l’accesso diretto ai dati di accesso tramite password senza doverli decifrare.
Secondo la sua comunicazione alla SEC, "i nomi utente e le password sFTP e dei database sono stati assegnati ai clienti attivi".
A cosa ha avuto accesso l’attaccante?
La comunicazione alla SEC rivela che l’attaccante ha avuto accesso agli indirizzi e-mail e ai numeri cliente degli utenti, alla password originale dell’amministratore WordPress impostata in fase di distribuzione e alle chiavi SSL private. Tutto ciò potrebbe essere utile a un attaccante, ma un punto in particolare risalta:
Dal 6 settembre 2021 al 17 novembre 2021, l’attaccante ha avuto accesso ai nomi utente e alle password sFTP e dei database dei clienti attivi.
GoDaddy ha memorizzato le password sFTP in modo che le versioni in testo in chiaro possano essere recuperate, invece di memorizzare hash salati di tali password o fornire l’autenticazione a chiave pubblica, entrambe considerate best practice del settore.
GoDaddy sembra confermare di aver memorizzato anche le password dei database in testo in chiaro o in un formato reversibile. Anche queste sono accessibili tramite la sua interfaccia utente. Purtroppo, salvare le password dei database come testo in chiaro è una pratica comune in un ambiente WordPress, dove la password viene salvata come testo nel file wp-config.php. Ciò che sorprende di più di questa violazione è che la password che consente l’accesso in lettura/scrittura all’intero file system tramite sFTP sia memorizzata in testo in chiaro.
Cosa potrebbe fare un attaccante con queste informazioni?
Sebbene la comunicazione alla SEC evidenzi il potenziale rischio di phishing dovuto all’esposizione degli indirizzi e-mail e dei numeri cliente, il rischio associato è minimo rispetto al potenziale impatto delle password sFTP e dei database esposte.
Sebbene GoDaddy abbia immediatamente reimpostato le password sFTP e dei database per tutti i siti interessati, l’attaccante ha avuto accesso per quasi un mese per impossessarsi di questi siti caricando malware o aggiungendo un amministratore malevolo. Ciò consentirebbe all’attaccante di mantenere la persistenza e controllare i siti anche dopo il cambio delle password.
Inoltre, con l’accesso al database, l’attaccante avrebbe avuto accesso a informazioni sensibili, inclusi i dati personali dei clienti del sito web archiviati nei database dei siti web interessati, e potrebbe essere stato in grado di estrarre completamente il contenuto di tutti i database interessati. Ciò include informazioni come gli hash delle password memorizzati nei database degli account utente WordPress dei siti web interessati e le informazioni dei clienti dai siti di e-commerce.
Allo stesso modo, un attaccante potrebbe ottenere il controllo di siti che non hanno modificato la loro password amministratore predefinita, ma sarebbe più semplice per lui utilizzare il proprio accesso sFTP e al database per farlo agevolmente.
Sulle pagine in cui è stata divulgata la chiave SSL privata, un attaccante potrebbe decifrare il traffico di dati con la chiave SSL privata rubata se riuscisse a portare a termine con successo un attacco Man-in-the-Middle sul traffico cifrato tra un visitatore del sito e un’entità interessata.
Cosa devo fare se ho un sito gestito da GoDaddy?
GoDaddy contatterà i clienti interessati nei prossimi giorni. Nel frattempo, data la gravità del problema e i dati a cui l’attaccante ha avuto accesso, raccomandiamo a tutti gli utenti WordPress gestito di presumere di essere stati compromessi e di adottare le seguenti misure:
Se gestisci un sito di e-commerce o detieni informazioni personali e GoDaddy ha confermato che sei stato vittima della violazione, potresti dover notificare i tuoi clienti.
Informati sui requisiti normativi nella tua giurisdizione e assicurati di rispettarli.
Cambia le tue password WordPress e, se possibile, forza un reset delle password per i tuoi utenti o clienti WordPress.
Poiché l’attaccante ha avuto accesso agli hash delle password in ogni database WordPress interessato, potrebbe potenzialmente decifrare queste password e utilizzarle sui siti web interessati.
Cambia qualsiasi password riutilizzata e consiglia ai tuoi utenti o clienti di fare lo stesso.
L’attaccante potrebbe utilizzare le credenziali estratte dai siti web interessati per accedere ad altri servizi con la stessa password. Ad esempio, se uno dei tuoi clienti utilizza lo stesso indirizzo e-mail e la stessa password sul tuo sito web e per il proprio account Gmail, l’attaccante potrebbe decifrare il Gmail di quel cliente non appena decifrata la sua password.
Se possibile, attiva l’autenticazione a due fattori.
Il plugin WordFence [2] offre questa funzione gratuitamente per i siti WordPress, e la maggior parte degli altri servizi offre un’opzione di autenticazione a due fattori.
Verifica il tuo sito alla ricerca di account amministratore non autorizzati.
Scansiona il tuo sito web alla ricerca di malware con uno scanner di sicurezza.
Controlla il file system del tuo sito, incluse le cartelle wp-content/plugins e wp-content/mu-plugins, per eventuali plugin imprevisti o plugin che non compaiono nel menu dei plugin, poiché è possibile utilizzare plugin legittimi per mantenere accessi non autorizzati.
Fai attenzione a e-mail di phishing dall’aspetto sospetto. Un attaccante potrebbe ancora utilizzare le e-mail e i numeri cliente estratti per ottenere ulteriori informazioni sensibili dalle vittime di questa compromissione.
Riepilogo
La violazione dei dati di GoDaddy Managed WordPress avrà probabilmente conseguenze di vasta portata. L’offerta Managed WordPress di GoDaddy costituisce una parte significativa dell’ecosistema WordPress, coinvolgendo proprietari di siti e i loro clienti. La comunicazione alla SEC afferma che sono stati coinvolti "fino a 1,2 milioni di clienti Managed WordPress attivi e inattivi". Anche i clienti di tali siti sono molto probabilmente interessati, rendendo il numero di persone colpite molto più ampio.
Per ora, chiunque utilizzi l’offerta Managed WordPress di GoDaddy dovrebbe presumere che i propri siti siano stati compromessi finché non saranno disponibili ulteriori informazioni, e seguire i passaggi indicati in questo articolo. Aggiorneremo l’articolo se emergeranno ulteriori informazioni.
Fonti:
Rapporto SEC di GoDaddy: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence:
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Nota: Tutti i loghi, i nomi dei prodotti e i marchi sono di proprietà dei rispettivi titolari negli Stati Uniti e/o in altri paesi. Tutti i nomi di società, prodotti e servizi utilizzati in questa pagina sono solo a scopo identificativo. L’uso di tali nomi, loghi e marchi non implica alcuna approvazione.
