Στα τέλη της περασμένης εβδομάδας [2023-02-16], η δημοφιλής εταιρεία φιλοξενίας ιστοσελίδων GoDaddy κατέθεσε την υποχρεωτική ετήσια έκθεση 10-K με την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC).
Στην υποκατηγορία Λειτουργικοί κίνδυνοι, η GoDaddy αποκάλυψε ότι:
Τον Δεκέμβριο του 2022, ένα μη εξουσιοδοτημένο τρίτο μέρος απέκτησε πρόσβαση και εγκατέστησε κακόβουλο λογισμικό στους διακομιστές φιλοξενίας cPanel. Το κακόβουλο λογισμικό ανακατευθύνει κατά διαστήματα τυχαίους ιστότοπους πελατών σε κακόβουλους ιστότοπους. Συνεχίζουμε τη διερεύνηση της βασικής αιτίας του συμβάντος.
Ανακατεύθυνση URL, επίσης γνωστή ως Προώθηση URL, είναι ένα απαράμιλλο χαρακτηριστικό του HTTP (το πρωτόκολλο μεταφοράς υπερκειμένου), και χρησιμοποιείται συνήθως για πολλούς λόγους.
Για παράδειγμα, μπορεί να αποφασίσετε να αλλάξετε το κύριο όνομα τομέα της εταιρείας σας, αλλά θέλετε να διατηρήσετε ζωντανούς όλους τους παλιούς συνδέσμους σας. Η εταιρεία σας μπορεί να εξαγοραστεί και να χρειαστεί να μεταφέρει το περιεχόμενό της στον ιστό στους διακομιστές του νέου κατόχου. Ή μπορεί απλώς να θέλετε να θέσετε τον τρέχοντα ιστότοπο εκτός σύνδεσης για συντήρηση και να ανακατευθύνετε τους επισκέπτες σε έναν προσωρινό ιστότοπο στο μεταξύ.
Μια άλλη σημαντική χρήση της ανακατεύθυνσης URL είναι να πείτε στους επισκέπτες που φτάνουν στον ιστότοπό σας μέσω απλού παλιού μη κρυπτογραφημένου HTTP ότι θα πρέπει να το επισκεφτούν χρησιμοποιώντας το HTTPS (ασφαλές HTTP).
Στη συνέχεια, αφού επανασυνδεθούν μέσω μιας κρυπτογραφημένης σύνδεσης, μπορείτε να συμπεριλάβετε μια ειδική κεφαλίδα για να πείτε στο πρόγραμμα περιήγησής τους να ξεκινήσει με HTTPS στο μέλλον, ακόμα κι αν κάνουν κλικ σε ένα παλιό http://... συνδέσμου ή πληκτρολογήστε κατά λάθος http://... με το χέρι.
Στην πραγματικότητα, οι ανακατευθύνσεις είναι τόσο συνηθισμένες που, αν περιπλανηθείτε στους προγραμματιστές ιστού, θα τους ακούσετε να αναφέρονται σε αυτούς με τους αριθμητικούς κωδικούς HTTP τους, με τον ίδιο σχεδόν τρόπο που οι υπόλοιποι μιλάμε για "απόκτηση 404" όταν προσπαθήστε να επισκεφτείτε μια σελίδα που δεν υπάρχει πλέον, απλώς και μόνο επειδή 404 είναι HTTP Not Found κωδικός λάθους.
Υπάρχουν στην πραγματικότητα αρκετοί διαφορετικοί κωδικοί ανακατεύθυνσης, αλλά αυτός που πιθανώς θα ακούσετε πιο συχνά να αναφέρεται με αριθμό είναι ο α 301 ανακατεύθυνση, επίσης γνωστή ως Moved Permanently. Τότε ξέρετε ότι η παλιά διεύθυνση URL έχει αποσυρθεί και είναι απίθανο να εμφανιστεί ξανά ως σύνδεσμος άμεσα προσβάσιμος. Άλλα περιλαμβάνουν 303 και 307 ανακατευθύνσεις, κοινώς γνωστές ως See Other και Temporary Redirect, χρησιμοποιείται όταν αναμένετε ότι η παλιά διεύθυνση URL θα επανέλθει τελικά σε ενεργή υπηρεσία.
Ακολουθούν δύο χαρακτηριστικά παραδείγματα ανακατευθύνσεων τύπου 301, όπως χρησιμοποιούνται στο Sophos.
Η πρώτη λέει στους επισκέπτες που χρησιμοποιούν HTTP να επανασυνδεθούν αμέσως χρησιμοποιώντας HTTPS, και η δεύτερη υπάρχει έτσι ώστε να μπορούμε να δεχόμαστε URL που ξεκινούν με sophos.com ανακατευθύνοντάς τα στο πιο συμβατικό όνομα διακομιστή ιστού μας www.sophos.com.
Σε κάθε περίπτωση, η καταχώριση κεφαλίδας επισημαίνεται Location: λέει στον πελάτη ιστού πού να πάει στη συνέχεια, κάτι που τα προγράμματα περιήγησης κάνουν συνήθως αυτόματα:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Τοποθεσία: https://sophos.com/ <--επανασυνδεθείτε εδώ (στο ίδιο μέρος, αλλά χρησιμοποιώντας TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Τοποθεσία: https://www.sophos.com/ <--redirect στον web server μας για πραγματική περιεχόμενο Αυστηρή-Μεταφορές-Ασφάλεια: . . . <--την επόμενη φορά, χρησιμοποιήστε το HTTPS για να ξεκινήσετε με . . .
Η επιλογή της γραμμής εντολών -D - παραπάνω λέει το curl πρόγραμμα για να εκτυπώσετε τις κεφαλίδες HTTP στις απαντήσεις, οι οποίες είναι αυτές που έχουν σημασία εδώ. Και οι δύο αυτές απαντήσεις είναι απλές ανακατευθύνσεις, που σημαίνει ότι δεν έχουν δικό τους περιεχόμενο για αποστολή, το οποίο υποδηλώνουν με την καταχώρηση κεφαλίδας Content-Length: 0. Λάβετε υπόψη ότι τα προγράμματα περιήγησης έχουν γενικά ενσωματωμένα όρια για το πόσες ανακατευθύνσεις θα ακολουθήσουν από οποιαδήποτε αρχική διεύθυνση URL, ως μια απλή προφύλαξη από το να παρασυρθούν σε μια ατελείωτη κύκλος ανακατεύθυνσης.
Ο έλεγχος ανακατεύθυνσης θεωρείται επιβλαβής
Όπως μπορείτε να φανταστείτε, η πρόσβαση εκ των έσω στις ρυθμίσεις ανακατεύθυνσης ιστού μιας εταιρείας σημαίνει αποτελεσματικά ότι μπορείτε να χακάρετε τους διακομιστές ιστού της χωρίς να τροποποιήσετε απευθείας τα περιεχόμενα αυτών των διακομιστών.
Αντίθετα, μπορείτε να ανακατευθύνετε κρυφά αυτά τα αιτήματα διακομιστή σε περιεχόμενο που έχετε ρυθμίσει αλλού, αφήνοντας τα ίδια τα δεδομένα διακομιστή αμετάβλητα.
Οποιοσδήποτε ελέγχει την πρόσβασή του και ανεβάζει αρχεία καταγραφής για στοιχεία μη εξουσιοδοτημένων συνδέσεων ή απροσδόκητων αλλαγών στα αρχεία HTML, CS , PHP και JavaScript που αποτελούν το επίσημο περιεχόμενο του ιστότοπού του…
…δεν θα δουν τίποτα δυσάρεστο, γιατί δεν θα έχουν αγγίξει τα δικά τους δεδομένα.
Ακόμη χειρότερα, εάν οι εισβολείς ενεργοποιούν κακόβουλες ανακατευθύνσεις μόνο κάθε τόσο, η υπονόμευση μπορεί να είναι δύσκολο να εντοπιστεί.
Αυτό φαίνεται να συνέβη με το GoDaddy, δεδομένου ότι η εταιρεία έγραψε στο α δήλωση στον δικό της ιστότοπο που:
Στις αρχές Δεκεμβρίου 2022, αρχίσαμε να λαμβάνουμε έναν μικρό αριθμό παραπόνων πελατών σχετικά με την περιοδική ανακατεύθυνση των ιστότοπών τους. Μόλις λάβαμε αυτά τα παράπονα, ερευνήσαμε και διαπιστώσαμε ότι οι διακοπτόμενες ανακατευθύνσεις γίνονταν σε φαινομενικά τυχαίους ιστότοπους που φιλοξενούνται στους κοινόχρηστους διακομιστές φιλοξενίας cPanel και δεν ήταν εύκολα αναπαραγώγιμες από την GoDaddy, ακόμη και στον ίδιο ιστότοπο.
Εντοπισμός παροδικών εξαγορών
Αυτό είναι το ίδιο πρόβλημα που αντιμετωπίζουν οι ερευνητές της κυβερνοασφάλειας όταν ασχολούνται με δηλητηριασμένες διαφημίσεις στο Διαδίκτυο που προβάλλονται από διακομιστές διαφημίσεων τρίτων – αυτό που είναι γνωστό στην ορολογία ως malvertising.
Προφανώς, κακόβουλο περιεχόμενο που εμφανίζεται μόνο κατά διαστήματα δεν εμφανίζεται κάθε φορά που επισκέπτεστε έναν ιστότοπο που επηρεάζεται, έτσι ώστε ακόμη και η απλή ανανέωση μιας σελίδας για την οποία δεν είστε σίγουροι είναι πιθανό να καταστρέψει τα στοιχεία.
Ίσως μάλιστα αποδεχτείτε απόλυτα εύλογα ότι αυτό που μόλις είδατε δεν ήταν απόπειρα επίθεσης, αλλά απλώς ένα παροδικό σφάλμα.
Αυτή η αβεβαιότητα και η μη αναπαραγωγιμότητα συνήθως καθυστερεί την πρώτη αναφορά του προβλήματος, η οποία παίζει στα χέρια των απατεώνων.
Ομοίως, οι ερευνητές που παρακολουθούν αναφορές για «διακοπτόμενη κακία» δεν μπορούν να είναι σίγουροι ότι θα μπορέσουν να αρπάξουν ένα αντίγραφο των κακών πραγμάτων, ακόμα κι αν ξέρουν πού να ψάξουν.
Πράγματι, όταν οι εγκληματίες χρησιμοποιούν κακόβουλο λογισμικό από την πλευρά του διακομιστή για να αλλάξουν δυναμικά τη συμπεριφορά των υπηρεσιών web (κάνοντας αλλαγές κατά το χρόνο εκτέλεσης, για να χρησιμοποιήσουμε τον όρο της ορολογίας), μπορούν να χρησιμοποιήσουν ένα ευρύ φάσμα εξωτερικών παραγόντων για να μπερδέψουν ακόμη περισσότερο τους ερευνητές.
Για παράδειγμα, μπορούν να αλλάξουν τις ανακατευθύνσεις τους ή ακόμα και να τις αποκρύψουν εντελώς, με βάση την ώρα της ημέρας, τη χώρα από την οποία επισκέπτεστε, είτε χρησιμοποιείτε φορητό υπολογιστή είτε τηλέφωνο, ποιο πρόγραμμα περιήγησης χρησιμοποιείτε…
…και αν αυτοί νομίζω είσαι ερευνητής κυβερνοασφάλειας ή όχι.
Τι να κάνω;
Δυστυχώς, το GoDaddy πήρε σχεδόν τρεις μήνες να πει στον κόσμο για αυτήν την παραβίαση, και ακόμη και τώρα δεν υπάρχουν πολλά να συνεχιστούν.
Είτε είστε χρήστης ιστού που έχει επισκεφτεί έναν ιστότοπο που φιλοξενείται από το GoDaddy από τον Δεκέμβριο του 2022 (που πιθανώς περιλαμβάνει τους περισσότερους από εμάς, είτε το καταλαβαίνουμε είτε όχι), είτε διαχειριστής ιστότοπου που χρησιμοποιεί την GoDaddy ως εταιρεία φιλοξενίας…
…δεν γνωρίζουμε κανένα δείκτες συμβιβασμού (IoC) ή «σημάδια επίθεσης», που μπορεί να είχατε παρατηρήσει εκείνη τη στιγμή ή που μπορούμε να σας συμβουλεύσουμε να αναζητήσετε τώρα.
Ακόμα χειρότερα, παρόλο που η GoDaddy περιγράφει την παραβίαση στον ιστότοπό της κάτω από τον τίτλο Δήλωση σχετικά με πρόσφατα ζητήματα ανακατεύθυνσης ιστότοπου, αναφέρει σε αυτήν Υποβολή 10-Κ ότι αυτή μπορεί να είναι μια πολύ μακροχρόνια επίθεση από ό,τι φαίνεται να σημαίνει η λέξη «πρόσφατη»:
Με βάση την έρευνά μας, πιστεύουμε [ότι αυτό και άλλα περιστατικά που χρονολογούνται τουλάχιστον από τον Μάρτιο του 2020] αποτελούν μέρος μιας πολυετούς εκστρατείας από μια εξελιγμένη ομάδα δρώντων απειλών που, μεταξύ άλλων, εγκατέστησε κακόβουλο λογισμικό στα συστήματά μας και έλαβε κομμάτια κώδικα που σχετίζεται με ορισμένες υπηρεσίες εντός του GoDaddy.
Όπως αναφέρθηκε παραπάνω, η GoDaddy διαβεβαίωσε την SEC ότι «συνεχίζουμε να διερευνούμε τη βασική αιτία του συμβάντος».
Ας ελπίσουμε ότι δεν θα χρειαστούν άλλοι τρεις μήνες για να μας πει η εταιρεία τι αποκαλύπτει κατά τη διάρκεια αυτής της έρευνας, η οποία φαίνεται να εκτείνεται πριν από τρία χρόνια ή περισσότερα…
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Ικανός
- Σχετικα
- πάνω από
- Απόλυτος
- Αποδέχομαι
- πρόσβαση
- αποκτήθηκαν
- ενεργός
- πραγματικά
- Ad
- διαφημίσεις
- κατά
- Όλα
- μεταξύ των
- και
- Άλλος
- γύρω
- βέβαιος
- επίθεση
- προσπάθεια
- συγγραφέας
- αυτόματη
- αυτομάτως
- πίσω
- background-image
- Κακός
- βασίζονται
- επειδή
- είναι
- Πιστεύω
- σύνορο
- Κάτω μέρος
- παραβίαση
- πρόγραμμα περιήγησης
- browsers
- ενσωματωμένο
- Εκστρατεία
- περίπτωση
- αλιεύονται
- Αιτία
- Κέντρο
- αλλαγή
- Αλλαγές
- έλεγχος
- πελάτης
- κωδικός
- χρώμα
- COM
- Ελάτε
- παραπομπής σας
- Κοινός
- συνήθως
- εταίρα
- Εταιρεία
- παραπόνων
- σύνδεση
- θεωρούνται
- περιεχόμενο
- περιεχόμενα
- ΣΥΝΕΧΕΙΑ
- έλεγχος
- συμβατικός
- χώρα
- Πορεία
- κάλυμμα
- Εγκληματίες
- Ρεύμα
- πελάτης
- Κυβερνασφάλεια
- ημερομηνία
- Ραντεβού
- ημέρα
- μοιρασιά
- Δεκέμβριος
- καθυστερήσεις
- καταστρέψει
- προγραμματιστές
- διαφορετικές
- κατευθείαν
- Display
- Όχι
- τομέα
- Όνομα Χώρου
- Μην
- κάτω
- δυναμικά
- κάθε
- Νωρίς
- εύκολα
- αποτελεσματικά
- είτε
- αλλού
- κρυπτογραφημένα
- εξ ολοκλήρου
- καταχώριση
- σφάλμα
- Even
- ΠΑΝΤΑ
- Κάθε
- απόδειξη
- παράδειγμα
- παραδείγματα
- ανταλλαγή
- υπάρχει
- αναμένω
- εξωτερικός
- παράγοντες
- Χαρακτηριστικό
- Αρχεία
- Όνομα
- ακολουθήστε
- Βρέθηκαν
- συχνά
- από
- περαιτέρω
- μελλοντικός
- γενικά
- παίρνω
- να πάρει
- δεδομένου
- Go
- μετάβαση
- πιάσε
- Group
- σιδηροπρίονο
- χέρι
- τα χέρια
- Κρεμώ
- συνέβη
- Σκληρά
- που έχει
- κεφαλίδες
- επικεφαλίδα
- ακούω
- ύψος
- εδώ
- Επιτυχία
- ελπίζω
- φιλοξενείται
- φιλοξενία
- φτερουγίζω
- Πως
- HTML
- HTTPS
- σημαντικό
- in
- περιστατικό
- περιλαμβάνουν
- περιλαμβάνει
- Πρόσωπα
- εγκατασταθεί
- αντί
- Internet
- διερευνήσει
- έρευνα
- IT
- εαυτό
- ορολογία
- το JavaScript
- Διατήρηση
- Ξέρω
- γνωστός
- laptop
- Επίθετο
- αφήνοντας
- Πιθανός
- όρια
- γραμμή
- LINK
- ΣΥΝΔΕΣΜΟΙ
- τοποθεσία
- πλέον
- ματιά
- Παρτίδα
- Κυρίως
- συντήρηση
- κάνω
- Κατασκευή
- malware
- πολοί
- Μάρτιος
- πορεία 2020
- Περιθώριο
- Θέματα
- max-width
- νόημα
- μέσα
- Εντομεταξύ
- που αναφέρθηκαν
- απλώς
- ενδέχεται να
- μήνες
- περισσότερο
- πλέον
- Mozilla
- πολυετούς διάρκειας
- όνομα
- σχεδόν
- Ανάγκη
- Νέα
- επόμενη
- κανονικός
- αριθμός
- λαμβάνεται
- επίσημος ανώτερος υπάλληλος
- offline
- Παλιά
- ONE
- χειριστής
- Επιλογή
- ΑΛΛΑ
- Άλλα
- δική
- μέρος
- κόμμα
- Παύλος
- μόνιμα
- τηλέφωνο
- PHP
- κομμάτια
- Μέρος
- Σκέτη
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- Δημοφιλής
- θέση
- Δημοσιεύσεις
- πιθανώς
- Πρόβλημα
- Πρόγραμμα
- τυχαίος
- σειρά
- λόγους
- λήψη
- πρόσφατος
- διευθύνω πάλιν
- αναφέρεται
- σχετίζεται με
- αναφέρουν
- Εκθέσεις
- αιτήματα
- ερευνητής
- ερευνητές
- ΠΕΡΙΦΕΡΕΙΑ
- Αποκαλυφθε'ντα
- ρίζα
- ίδιο
- Αναζήτηση
- SEC
- Δεύτερος
- προστατευμένο περιβάλλον
- Χρεόγραφα
- Securities and Exchange Commission
- φαίνεται
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- σειρά
- ρυθμίσεις
- διάφοροι
- Shared
- αλλαγή
- θα πρέπει να
- δείχνουν
- Απλούς
- απλά
- αφού
- ιστοσελίδα
- Sites
- small
- So
- στέρεο
- μερικοί
- εξελιγμένα
- ειδική
- Spot
- Εκκίνηση
- ξεκίνησε
- Ξεκινήστε
- Μελών
- Ακόμη
- SVG
- συστήματα
- Πάρτε
- Συζήτηση
- λέει
- προσωρινή
- Η
- Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ
- ο κόσμος
- τους
- πράγματα
- Τρίτος
- τρίτους
- απειλή
- τρία
- ώρα
- προς την
- κορυφή
- τρελλός λίγο
- μεταφορά
- μετάβαση
- διαφανής
- ενεργοποιούν
- τυπικός
- συνήθως
- τελικά
- Αβεβαιότητα
- υπό
- Απροσδόκητος
- URL
- us
- Αμερικανική Επιτροπή Κεφαλαιαγοράς
- χρήση
- Χρήστες
- ποικιλία
- μέσω
- επισκέφθηκε
- επισκέπτες
- ιστός
- του web server
- διαδικτυακές υπηρεσίες
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- εβδομάδα
- Τι
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- ευρύς
- Ευρύ φάσμα
- θα
- εντός
- χωρίς
- λέξη
- κόσμος
- χρόνια
- Εσείς
- Σας
- zephyrnet
![S3 Ep101: Παραβιάσεις Uber και LastPass – είναι το 2FA το μόνο που πρέπει να είναι; [Ήχος + Κείμενο] PlatoBlockchain Data Intelligence. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Παραβιάσεις της Uber και του LastPass – είναι το 2FA το μόνο που πρέπει να είναι; [Ήχος + Κείμενο]")
![S3 Ep122: Σταματήστε να αποκαλείτε κάθε παραβίαση "εξελιγμένη"! [Ήχος + Κείμενο]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "S3 Ep122: Σταματήστε να αποκαλείτε κάθε παραβίαση \"εξελιγμένη\"! [Ήχος + Κείμενο]")
