GoDaddy, il più grande registrar di domini al mondo, ha confermato che 28.000 account di web hosting dei suoi clienti sono stati compromessi a seguito di un incidente di sicurezza nell’ottobre 2019.

Quasi tutti avete sentito parlare di GoDaddy, oltre 19 milioni di clienti, 77 milioni di domini gestiti e milioni di siti Web ospitati. Negli ultimi giorni il nome di GoDaddy è rimbalzato sui siti di informazione per un nuovo data breach che avrebbe interessato la compagnia.

La conferma della violazione dei dati, in un’e-mail firmata dal CISO di GoDaddy Demetrius Comes, ha rivelato che l‘incidente di sicurezza in questione è emerso dopo che un’attività sospetta è stata recentemente identificata su alcuni server GoDaddy. La violazione stessa sembra essersi verificata il 19 ottobre 2019, secondo il Dipartimento di Giustizia dello Stato della California, con cui è stato archiviato l’esempio di notifica via e-mail

L’incidente di sicurezza si è verificato il 19 ottobre 2019, ma non è stato rilevato fino al 23 aprile 2020, quando GoDaddy ha notato alcune attività sospette che si erano verificate su un sottoinsieme dei suoi server.

Dal punto di vista tecnico non è ancora chiaro come sia stato effettuato l’attacco, forse sfruttando una vulnerabilità nota di SSH, casualmente una grave vulnerabilità in OpenSSH da 7.7 a 7.9 e in tutte le versioni di OpenSSH 8 fino a 8.1. è stata scoperta lo scorso anno e risolta il 9 ottobre scorso nella versione 8.1. in concomitanza con la data di ottobre 2019 che GoDaddy ha confermato essere il periodo in cui i loro server di hosting sono stati compromessi.

Potrebbe essere stato utilizzato un attacco brute force, ma gli attaccanti considerano ormai questo tipo di attacco troppo poco efficiente in quanto può richiedere tempi lunghi.

Molto probabilmente sono state utilizzate delle credenziali di un account privilegiato che potrebbero essere state “trovate” nel dark web o ottenute tramite social engineering o email di spear fishing.

Quali le conseguenze?

Il fatto più eclatante è che l’incidente di sicurezza si è verificato il 19 ottobre 2019, ma non è stato rilevato fino al 23 aprile 2020, quando GoDaddy ha notato alcune attività sospette che si verificano su un sottoinsieme dei suoi server. Anche se la compagnia assicura che l’incidente ha riguardato “solo” user name e password degli account di hosting utilizzati dai clienti per accedere ai server via SSH e che le informazioni archiviate nell’account cliente non erano accessibili all’attaccante, per 6 mesi l’attaccante ha avuto accesso ai server dei domini le cui credenziali erano state compromesse e sappiamo bene che tramite protocollo SSH è possibile trasferire dati….

Il solo fatto che siano state violate delle credenziali (username e password) può costituire una ulteriore minaccia per gli attori coinvolti che utilizzano la stessa password per l’accesso ad altre applicazioni (quanti di noi utilizzano la stessa password per tutto?) e questa password è in possesso degli hacker dal 19 ottobre scorso…

Inoltre ora gli hacker potranno sbizzarrirsi con attacchi di spear fishing mirati agli utenti le cui credenziali sono state compromesse, ma anche attacchi di fishing a utenti di GoDaddy inconsapevoli; la stessa GoDaddy ha dichiarato di aver inviato una mail ai clienti interessati per il ripristino della password compromessa e di aver garantito un anno di accesso gratuito al servizio Website Security Deluxe and Express Malware Removal ai clienti interessati dal furto di credenziali. Ora immaginate di essere un cliente GoDaddy, di ricevere una mail in cui vi viene notificato che per l’incidente dovete seguire una determinata procedura per il ripristino della password cliccando su di un link o aprendo un determinato documento allegato alla mail….quanti aprono l’allegato o cliccano sul link senza verificare che la mail sia effettivamente stata inviata dal customer support dell’operatore?

Come si sarebbe potuto evitare?

Il controllo delle attività degli utenti (Audit e UBA) non può più essere un “nice to have”, ma è qualcosa da cui le aziende non possono prescindere; con un sistema di audit e di controllo delle anomalie si sarebbe potuto evitare o limitare al minimo l’accesso indebito.

Un sistema di audit permette di tenere sotto controllo tutte le attività degli utenti, privilegiati e non e di essere allertati in tempo reale se un utente sta svolgendo attività non in linea con il suo profilo, se sta effettuando operazioni anomale, in orari sospetti, collegandosi da indirizzi ip, client o server non trustati o rimuovendo ed esfiltrando dati.

La gestione delle password è diventata di vitale importanza per le aziende, non è più pensabile di utilizzare sistemi di autenticazioni basati solo su user name e password, ma è necessario implementare un autenticazioni a più fattori, minimo due o anche tre se possibile utilizzando one time password.

Se poi si tratta di credenziali di accesso a SSH, è fondamentale che le organizzazioni rispettino il più alto livello di sicurezza dell’accesso SSH e disabilitino l’autenticazione tramite semplici credenziali utilizzando invece le identità delle macchine e implementando un sistema di autenticazione crittografato a chiave pubblica-privata per autenticare l’utente e il sistema.

Conclusioni

Mettere in sicurezza un ambiente cloud richiede sforzo di squadra in cui devono essere coinvolti sia il fornitore di servizi che l’azienda client, è necessario lavorare insieme per mettere in atto tutte le migliori pratiche di sicurezza senza dimenticarsi di controllare continuamente l’attività degli utenti e delle macchine.