GoDaddy Breach legt SSL-Schlüssel von Managed WordPress Hosting-Kunden ungeschützt

Eine Datenschutzverletzung unter GoDaddy hat SSL-Schlüssel enthüllt, die an eine nicht genannte – andererseits wahrscheinlich große – Menge aktiver Kunden ausgegeben wurden, die seinen Managed WordPress-Website-Hosting-Tafelgeschirr nutzen. Jener Zwischenfall hat Zweifel geweckt, dass Angreifer Domänen pro Ransomware kapern oder selbige pro den Klauerei von Anmeldeinformationen und andere böswillige Zwecke verfälschen.

GoDaddy, ein großes Domain-Registrar und Website-Hosting-Unternehmen, gab am Montag veröffentlicht, dass es am 17. November eine Datenpanne entdeckt hat, die Statistik von insgesamt 1,2 Mio. aktiven und inaktiven Kunden von Managed WordPress offengelegt hat. Zu den offengelegten Statistik gehörten die Email-Postanschrift und die Kundennummer, die mit den WordPress-Konten verknüpft sind; dies standardmäßige WordPress-Administratorkennwort, dies unter dieser ersten Verfügbarmachung des Kontos festgesetzt wurde; und SFTP- und Datenbankbenutzername und -passwörter. SSL-Schlüssel, die zu einer Untergruppe dieser 1,2 Mio. betroffenen Kunden in Besitz sein von, wurden ebenfalls aufgedeckt, sagte GoDaddy in einer unter dieser Securities and Exchange Commission eingereichten behördlichen Hinweistext.

Dies börsennotierte Unternehmen sagte, es habe leer betroffenen Passwörter zurückgesetzt und sei hier, neue Zertifikate pro Kunden auszustellen und zu implementieren, deren SSL-Schlüssel offengelegt wurden.

GoDaddy-Beamte sagen, dass die Angreifer ein kompromittiertes Passwort verwendet nach sich ziehen, um hinaus dies Zertifikatbereitstellungssystem in GoDaddys Legacy-Codebasis pro Managed WordPress zuzugreifen. Eine Untersuchung ergab, dass die Angreifer am 6. September ersten Zugang zu seiner Umgebung erhielten und solange bis zum 17. November mehr wie 70 Tage weit unentdeckt blieben.

“Wir Reue diesen Zwischenfall und die Missbehagen, die er unter unseren Kunden verursacht, aufrichtig”, sagte Demetrius Comes, Chief Information Security Officer von GoDaddy, in dieser unter dieser SEC eingereichten Hinweistext. “Wir werden aus diesem Zwischenfall lernen und unternehmen schon Schritte, um unser Bereitstellungssystem mit zusätzlichen Schutzebenen zu stärken.”

Es ist unklar, wie selbige Zusicherung unter den Kunden eintreffen wird, wenn man bedenkt, dass GoDaddy in den letzten Jahren Probleme mit dieser Sicherheit hatte. Im Mai 2020 gab dies Unternehmen veröffentlicht, eine Sicherheitsverletzung entdeckt zu nach sich ziehen, die die SSH-Zugangsdaten von rund 28.000 Kunden betrifft. Jener Verstoß ereignete sich im November 2019, wurde andererseits erst im vierter Monat des Jahres des folgenden Jahres entdeckt. Wohnhaft bei mindestens zwei weiteren Gelegenheiten im vergangenen Jahr nach sich ziehen Mitwirkender des Unternehmens Betrügern durch Social Engineering die Test mehr als die Domains einer Handvoll Kunden ermöglicht.

Potenzial pro zukünftige Probleme
Die große Missbehagen unter dieser jüngsten Verletzung besteht darin, dass Angreifer die SSL-Anmeldeinformationen verwenden können, um Domänen legitimer Unternehmen zum Zwecke des Diebstahls von Anmeldeinformationen oder dieser Verbreitung von Schadsoftware vorzutäuschen. Angreifer könnten die Schlüssel notfalls zweite Geige verwenden, um zusammensetzen Domänennamen zu kapern und ein Lösegeld pro dessen Rückgabe zu erpressen, sagen Sicherheitsexperten.

„Betroffene Unternehmen zu tun sein selbige Zertifikate durch neue ersetzen“, sagt Nick France, CTO von SSL unter Sectigo. Sie sollten sicherstellen, dass dies ursprüngliche Zertifikat nicht zugreifbar und ein komplett neuer privater Schlüssel generiert wird, fügt er hinzu.

Jener Widerruf von Zertifikaten selbst ist ein schneller Vorgang, unter dem kompromittierte Schlüssel normalerweise zwischen 24 Zahlungsfrist aufschieben und fünf Tagen ausgetauscht werden zu tun sein. GoDaddy ist eine zertifikatsausstellende Respektsperson, und wenn leer offengelegten SSL-Schlüssel vom Unternehmen ausgestellt wurden, würde es dies Zurücknehmen und die Neuausstellung tun.

“Es wurde nicht klargestellt, ob leer selbige kompromittierten Zertifikate und Schlüssel leer von dieser GoDaddy-CA stammten oder ob andere Zertifikate kompromittiert wurden”, sagt Grande Nation. Viele Hosting-Unternehmen offenstehen ihren Kunden ihre eigenen Zertifikate an, erlauben es den Kunden jedoch zweite Geige, ihr eigenes Zertifikat mitzubringen, wenn sie dies wünschen. „Solange wir nicht wissen, wie die kompromittierten Zertifikate aussehen – pro wen sie charakteristisch waren und wer sie ausgestellt hat – ist es schwierig, genau zu sagen, wer Maßnahmen ergreifen muss“, sagt er.

Laut Murali Palanisamy, Chief Solutions Officer unter AppViewX, verdeutlichen Sicherheitsverletzungen wie die unter GoDaddy die Notwendigkeit pro Unternehmen, eine Plattform zu nach sich ziehen, die den Widerrufs- und Neuausstellungsprozess von Zertifikaten automatisiert. Solche Vorfälle zeigen zweite Geige, warum es pro Unternehmen eine gute Idee sein könnte, kurzlebige digitale Zertifikate zu verwenden. Sogar wenn Schlüssel kompromittiert werden, ist die Möglichkeit pro Angreifer, selbige zu misshandeln, zeitlich eingeengt.

“Typische Zertifikate sind ein Jahr komplett”, sagt Palaniswamy. Wohnhaft bei einem Exploit nachdem dieser Hälfte dieser Nutzungsdauer des Zertifikats hätten die Hacker mehr wie sechs Monate gültige Zertifikate.

„Ein kurzlebiges Zertifikat wie LetsEncrypt ist 90 Tage komplett und wird nicht aufgefordert verlängert“, sagt er. Die Laufzeit solcher Zertifikate könne unter Drang hinaus nur 30 Tage verkürzt werden, sagt er. “Wohnhaft bei einem kurzlebigen Zertifikat von 30 Tagen”, fügt er hinzu, “gibt es ein kürzeres Zeitfenster, dies genutzt werden könnte, um zusammensetzen ausgeklügelten Sturm hinaus ein ausgenutztes Zertifikat durchzuführen.”