W listopadzie 2021 r. GoDaddy ogłosiło, że nieznany atakujący uzyskał nieautoryzowany dostęp do systemu obsługującego jego zarządzane witryny WordPress, co dotyczy nawet 1,2 mln klientów WordPressa.
Należy zauważyć, że liczba ta nie obejmuje liczby klientów na witrynach dotkniętych tym naruszeniem, a niektórzy klienci GoDaddy posiadają na swoich kontach więcej niż jedną witrynę.
Zgodnie z raportem [1] atakujący po raz pierwszy uzyskali dostęp 6 września 2021 r., wykorzystując skompromitowane hasło, a zostali wykryci po zablokowaniu dostępu 17 listopada 2021 r. Choć firma natychmiast podjęła działania ograniczające skutki, atakujący miał ponad dwa miesiące na ustanowienie trwałej obecności. Każdy, kto obecnie korzysta z zarządzanego produktu WordPress firmy GoDaddy, powinien zakładać, że został skompromitowany, dopóki nie potwierdzi, że tak nie jest.
Wygląda na to, że GoDaddy przechowywało dane uwierzytelniające sFTP w postaci tekstu jawnego lub w formacie, który można zamienić na tekst jawny. Zrobiono to zamiast użycia solonego skrótu lub klucza publicznego, uznawanych za branżowy standard dla sFTP. Dało to atakującemu bezpośredni dostęp do danych logowania za pomocą hasła, bez konieczności ich łamania.
Zgodnie ze zgłoszeniem do SEC „nazwy użytkowników i hasła sFTP oraz bazy danych zostały udostępnione aktywnym klientom".
Do czego atakujący miał dostęp?
Zgłoszenie do SEC ujawnia, że atakujący uzyskał dostęp do adresów e-mail i numerów klientów użytkowników, oryginalnego hasła administratora WordPressa ustawionego podczas wdrażania oraz prywatnych kluczy SSL. Wszystko to mogłoby być przydatne dla atakującego, ale jeden punkt szczególnie się wyróżnia:
Od 6 września 2021 r. do 17 listopada 2021 r. atakujący uzyskał dostęp do nazw użytkowników i haseł sFTP oraz baz danych aktywnych klientów.
GoDaddy przechowywało hasła sFTP w taki sposób, że można odzyskać ich wersje w postaci tekstu jawnego, zamiast przechowywać ich solone skróty lub zapewniać uwierzytelnianie kluczem publicznym, które są branżowymi najlepszymi praktykami.
GoDaddy zdaje się potwierdzać, że również hasła do baz danych były przechowywane w postaci tekstu jawnego lub w odwracalnym formacie. Są one również dostępne za pośrednictwem interfejsu użytkownika. Niestety, przechowywanie haseł do bazy danych jako tekstu jawnego jest standardem w środowisku WordPress, gdzie hasło jest zapisywane jako tekst w pliku wp-config.php. Bardziej zaskakujące w tym naruszeniu jest to, że hasło umożliwiające dostęp do odczytu/zapisu w całym systemie plików za pośrednictwem sFTP jest przechowywane jako tekst jawny.
Co atakujący mógłby zrobić z tymi informacjami?
Choć zgłoszenie do SEC podkreśla potencjalne ryzyko phishingu wynikające z ujawnienia adresów e-mail i numerów klientów, związane z tym ryzyko jest minimalne w porównaniu do potencjalnych skutków ujawnienia haseł sFTP i baz danych.
Choć GoDaddy natychmiast zresetowało hasła sFTP i baz danych dla wszystkich dotkniętych witryn, atakujący miał dostęp przez prawie miesiąc, aby przejąć kontrolę nad tymi witrynami poprzez wgranie złośliwego oprogramowania lub dodanie złośliwego administratora. Pozwoliłoby to atakującemu zachować trwałą obecność i kontrolować witryny nawet po zmianie haseł.
Ponadto, mając dostęp do bazy danych, atakujący miałby dostęp do wrażliwych informacji, w tym do danych osobowych klientów witryn przechowywanych w bazach danych dotkniętych witryn, i prawdopodobnie mógłby w pełni wyodrębnić zawartość wszystkich dotkniętych baz danych. Obejmuje to informacje takie jak skróty haseł przechowywane w bazach danych kont użytkowników WordPress dotkniętych witryn oraz informacje o klientach z witryn e-commerce.
Atakujący mógłby podobnie przejąć kontrolę nad witrynami, które nie zmieniły domyślnego hasła administratora, ale łatwiej byłoby mu wykorzystać do tego dostęp sFTP i do bazy danych.
Na stronach, na których ujawniono prywatny klucz SSL, atakujący mógłby odszyfrować ruch danych za pomocą skradzionego prywatnego klucza SSL, gdyby udało mu się skutecznie przeprowadzić atak typu Man-in-the-Middle na zaszyfrowany ruch między odwiedzającym witrynę a dotkniętym podmiotem.
Co powinienem zrobić, jeśli mam zarządzaną witrynę GoDaddy?
GoDaddy w ciągu najbliższych dni skontaktuje się z dotkniętymi klientami. Tymczasem, biorąc pod uwagę powagę problemu oraz dane, do których atakujący miał dostęp, zalecamy, aby wszyscy użytkownicy zarządzanego WordPressa przyjęli, że zostali skompromitowani, i podjęli następujące kroki:
Jeśli prowadzisz witrynę e-commerce lub posiadasz dane osobowe, a GoDaddy potwierdziło, że doszło u Ciebie do naruszenia, możesz być zobowiązany do powiadomienia swoich klientów o naruszeniu.
Zapoznaj się z wymogami regulacyjnymi w swojej jurysdykcji i upewnij się, że je spełniasz.
Zmień hasła WordPressa i, jeśli to możliwe, wymuś zresetowanie haseł dla swoich użytkowników lub klientów WordPressa.
Ponieważ atakujący miał dostęp do skrótów haseł w każdej dotkniętej bazie danych WordPress, mógłby potencjalnie złamać te hasła i wykorzystać je na dotkniętych witrynach.
Zmień wszystkie ponownie używane hasła i poradź swoim użytkownikom lub klientom, aby zrobili to samo.
Atakujący mógłby wykorzystać dane uwierzytelniające wyodrębnione z dotkniętych witryn, aby uzyskać dostęp do innych usług z tym samym hasłem. Na przykład, jeśli jeden z Twoich klientów używa tego samego adresu e-mail i hasła w Twojej witrynie oraz w swoim koncie Gmail, atakujący mógłby złamać Gmail tego klienta zaraz po złamaniu jego hasła.
Jeśli to możliwe, włącz uwierzytelnianie dwuskładnikowe.
Wtyczka WordFence [2] oferuje to jako bezpłatną funkcję dla witryn WordPress, a większość innych usług oferuje opcję uwierzytelniania dwuskładnikowego.
Sprawdź swoją witrynę pod kątem nieautoryzowanych kont administratora.
Przeskanuj witrynę pod kątem złośliwego oprogramowania za pomocą skanera bezpieczeństwa.
Sprawdź system plików swojej witryny, w tym wp-content/plugins i wp-content/mu-plugins, pod kątem nieoczekiwanych wtyczek lub wtyczek, które nie pojawiają się w menu wtyczek, ponieważ możliwe jest wykorzystanie legalnych wtyczek do utrzymania nieautoryzowanego dostępu.
Uważaj na podejrzanie wyglądające wiadomości phishingowe. Atakujący nadal mógłby wykorzystać wyodrębnione e-maile i numery klientów, aby uzyskać dalsze wrażliwe informacje od ofiar tego naruszenia.
Podsumowanie
Naruszenie danych GoDaddy Managed WordPress prawdopodobnie będzie miało daleko idące konsekwencje. Oferta Managed WordPress firmy GoDaddy stanowi znaczącą część ekosystemu WordPress, dotykając zarówno właścicieli witryn, jak i ich klientów. Zgłoszenie do SEC informuje, że naruszenie objęło „do 1,2 mln aktywnych i nieaktywnych klientów Managed WordPress". Klienci tych witryn również najprawdopodobniej zostali dotknięci, co znacznie zwiększa liczbę osób poszkodowanych.
Na razie każdy, kto korzysta z oferty Managed WordPress firmy GoDaddy, powinien przyjąć, że jego witryny zostały skompromitowane, dopóki nie pojawią się dalsze informacje, oraz postępować zgodnie z krokami opisanymi w tym artykule. Zaktualizujemy artykuł, gdy pojawią się dodatkowe informacje.
Źródła:
Raport GoDaddy dla SEC: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence:
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Uwaga: Wszystkie logo, nazwy produktów i znaki towarowe są własnością ich odpowiednich właścicieli w Stanach Zjednoczonych i/lub innych krajach. Wszystkie nazwy firm, produktów i usług użyte na tej stronie służą wyłącznie do celów identyfikacji. Użycie tych nazw, logo i znaków towarowych nie oznacza poparcia.
