A fines de la semana pasada [2023-02-16], la popular empresa de alojamiento web GoDaddy presentó su informe anual 10-K con la Comisión de Bolsa y Valores de EE. UU. (SEC).
Bajo el subtítulo Riesgos operacionales, GoDaddy reveló que:
En diciembre de 2022, un tercero no autorizado obtuvo acceso e instaló malware en nuestros servidores de alojamiento cPanel. El malware redirigía intermitentemente sitios web aleatorios de clientes a sitios maliciosos. Continuamos investigando la causa raíz del incidente.
Redirección de URL, también conocida como Reenvío de URL, es una característica intachable de HTTP (el Protocolo de Transferencia de Hipertexto), y se usa comúnmente por una amplia variedad de razones.
Por ejemplo, puede decidir cambiar el nombre de dominio principal de su empresa, pero desea mantener vivos todos sus enlaces antiguos; su empresa podría ser adquirida y necesitar trasladar su contenido web a los servidores del nuevo propietario; o simplemente puede desconectar su sitio web actual para realizar tareas de mantenimiento y, mientras tanto, redirigir a los visitantes a un sitio temporal.
Otro uso importante de la redirección de URL es decirles a los visitantes que llegan a su sitio web a través de HTTP simple y sin cifrar que deben visitarlo usando HTTPS (HTTP seguro).
Luego, una vez que se hayan vuelto a conectar a través de una conexión encriptada, puede incluir un encabezado especial para decirle a su navegador que comience con HTTPS en el futuro, incluso si hacen clic en un antiguo http://... enlace, o escribe por error http://... a mano.
De hecho, los redireccionamientos son tan comunes que, si se junta con desarrolladores web, escuchará que se refieren a ellos por sus códigos HTTP numéricos, de la misma manera que el resto de nosotros hablamos de "obtener un 404" cuando intente visitar una página que ya no existe, simplemente porque 404 es HTTP Not Found código de error.
En realidad, hay varios códigos de redirección diferentes, pero el que probablemente oirá con más frecuencia mencionado por número es un 301 redirigir, también conocido como Moved Permanently. Ahí es cuando sabe que la antigua URL se ha retirado y es poco probable que vuelva a aparecer como un enlace directamente accesible. Otros incluyen 303 y 307 redireccionamientos, comúnmente conocidos como See Other y Temporary Redirect, que se utiliza cuando se espera que la antigua URL finalmente vuelva a estar en servicio activo.
Aquí hay dos ejemplos típicos de redireccionamientos de estilo 301, como se usa en Sophos.
El primero les dice a los visitantes que usan HTTP que se vuelvan a conectar de inmediato usando HTTPS en su lugar, y el segundo existe para que podamos aceptar las URL que comienzan con solo sophos.com redirigiéndolos a nuestro nombre de servidor web más convencional www.sophos.com.
En cada caso, la entrada del encabezado etiquetada Location: le dice al cliente web a dónde ir a continuación, lo que los navegadores generalmente hacen automáticamente:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Movido permanentemente Contenido-Longitud: 0 Ubicación: https://sophos.com/ <--volver a conectar aquí (mismo lugar, pero usando TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Movido permanentemente Longitud del contenido: 0 Ubicación: https://www.sophos.com/ <--redireccionar a nuestro servidor web para contenido Estricta-Transporte-Seguridad: . . . <--la próxima vez, utilice HTTPS para comenzar con . . .
La opción de línea de comando -D - arriba le dice a la curl programa para imprimir los encabezados HTTP en las respuestas, que son lo que importa aquí. Ambas respuestas son redireccionamientos simples, lo que significa que no tienen ningún contenido propio para devolver, lo que indican con la entrada del encabezado. Content-Length: 0. Tenga en cuenta que los navegadores generalmente tienen límites incorporados sobre la cantidad de redireccionamientos que seguirán desde cualquier URL de inicio, como una simple precaución para evitar quedar atrapados en un interminable ciclo de redirección.
Control de redirección considerado dañino
Como puede imaginar, tener acceso interno a la configuración de redirección web de una empresa significa que puede piratear sus servidores web sin modificar el contenido de esos servidores directamente.
En cambio, puede redirigir furtivamente esas solicitudes del servidor al contenido que ha configurado en otro lugar, dejando los datos del servidor sin cambios.
Cualquiera que verifique sus registros de acceso y carga en busca de evidencia de inicios de sesión no autorizados o cambios inesperados en los archivos HTML, CS, PHP y JavaScript que componen el contenido oficial de su sitio...
…no verán nada malo, porque sus propios datos en realidad no habrán sido tocados.
Peor aún, si los atacantes activan redireccionamientos maliciosos solo de vez en cuando, el subterfugio puede ser difícil de detectar.
Eso parece haber sido lo que le sucedió a GoDaddy, dado que la compañía escribió en un ambiental en su propio sitio que:
A principios de diciembre de 2022, comenzamos a recibir una pequeña cantidad de quejas de clientes sobre el redireccionamiento intermitente de sus sitios web. Al recibir estas quejas, investigamos y descubrimos que los redireccionamientos intermitentes estaban ocurriendo en sitios web aparentemente aleatorios alojados en nuestros servidores de alojamiento compartido de cPanel y que GoDaddy no podía reproducir fácilmente, incluso en el mismo sitio web.
Rastreando adquisiciones transitorias
Este es el mismo tipo de problema que encuentran los investigadores de seguridad cibernética cuando se trata de anuncios de Internet envenenados publicados por servidores de anuncios de terceros, lo que se conoce en la jerga como malvertising.
Obviamente, el contenido malicioso que aparece solo de manera intermitente no aparece cada vez que visita un sitio afectado, por lo que incluso actualizar una página de la que no está seguro probablemente destruya la evidencia.
Incluso podría aceptar de manera perfectamente razonable que lo que acaba de ver no fue un intento de ataque, sino simplemente un error transitorio.
Esta incertidumbre e irreproducibilidad generalmente retrasa el primer informe del problema, lo que les hace el juego a los ladrones.
Del mismo modo, los investigadores que realizan un seguimiento de los informes de "malevolencia intermitente" tampoco pueden estar seguros de que podrán obtener una copia de las cosas malas, incluso si saben dónde buscar.
De hecho, cuando los delincuentes utilizan software malicioso del lado del servidor para alterar dinámicamente el comportamiento de los servicios web (haciendo cambios en tiempo de ejecución, para usar el término de la jerga), pueden usar una amplia gama de factores externos para confundir aún más a los investigadores.
Por ejemplo, pueden cambiar sus redireccionamientos, o incluso suprimirlos por completo, según la hora del día, el país desde el que visita, si está en una computadora portátil o en un teléfono, qué navegador está usando...
…y si ellos pensar eres un investigador de ciberseguridad o no.
¿Qué hacer?
Desafortunadamente, GoDaddy tardó casi tres meses para contarle al mundo sobre esta brecha, e incluso ahora no hay mucho por lo que continuar.
Tanto si eres un usuario web que ha visitado un sitio alojado por GoDaddy desde diciembre de 2022 (lo que probablemente nos incluye a la mayoría de nosotros, nos demos cuenta o no), o un operador de sitio web que utiliza GoDaddy como empresa de alojamiento...
…no somos conscientes de ninguno indicadores de compromiso (IoC), o "signos de ataque", que podría haber notado en ese momento o que podemos recomendarle que busque ahora.
Peor aún, a pesar de que GoDaddy describe la violación en su sitio web bajo el título Declaración sobre problemas recientes de redireccionamiento del sitio web, afirma en su Archivo 10-K que esto puede ser un ataque mucho más prolongado de lo que parece implicar la palabra "reciente":
Según nuestra investigación, creemos que [este y otros incidentes que se remontan al menos a marzo de 2020] son parte de una campaña de varios años de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo piezas de código relacionado con algunos servicios dentro de GoDaddy.
Como se mencionó anteriormente, GoDaddy ha asegurado a la SEC que "continuamos investigando la causa raíz del incidente".
Esperemos que la compañía no tarde otros tres meses en decirnos lo que descubre en el curso de esta investigación, que parece extenderse por tres años o más...
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Poder
- Nuestra Empresa
- arriba
- Absoluto
- Aceptar
- de la máquina
- adquirido
- lector activo
- Ad
- Anuncios
- en contra
- Todos
- entre
- y
- Otra
- en torno a
- asegurado
- atacar
- atentado
- autor
- auto
- automáticamente
- Atrás
- background-image
- Malo
- basado
- porque
- "Ser"
- CREEMOS
- frontera
- Fondo
- incumplimiento
- cada navegador
- navegadores
- incorporado
- Campaña
- case
- capturado
- Causa
- Reubicación
- el cambio
- Cambios
- comprobación
- cliente
- código
- Color
- COM
- cómo
- referencia
- Algunos
- comúnmente
- compañía
- De la empresa
- quejas
- conexión
- considerado
- contenido
- contenido
- continue
- control
- convencional
- país
- Curso
- Protectora
- Los criminales
- Current
- cliente
- La Ciberseguridad
- datos
- Citas
- día
- tratar
- Diciembre
- retrasos
- destruir
- desarrolladores
- una experiencia diferente
- directamente
- Pantalla
- No
- dominio
- Nombre de dominio
- No
- DE INSCRIPCIÓN
- dinamicamente
- cada una
- Temprano en la
- pasan fácilmente
- de manera eficaz
- ya sea
- en otra parte
- cifrado
- enteramente
- entrada
- error
- Incluso
- NUNCA
- Cada
- evidencia sólida
- ejemplo
- ejemplos
- Intercambio
- existe
- esperar
- externo
- factores importantes
- Feature
- archivos
- Nombre
- seguir
- encontrado
- frecuentemente
- Desde
- promover
- futuras
- en general
- obtener
- conseguir
- dado
- Go
- va
- agarrar
- Grupo procesos
- corte
- mano
- Manos
- Colgar
- pasó
- Difícil
- es
- cabeceras
- titular
- oír
- altura
- esta página
- Golpear
- esperanza
- organizado
- hosting
- flotar
- Cómo
- HTML
- HTTPS
- importante
- in
- incidente
- incluir
- incluye
- Amenaza
- instalado
- Internet
- investigar
- investigación
- IT
- sí mismo
- jerga
- JavaScript
- Guardar
- Saber
- conocido
- portátil
- Apellidos
- dejarlo
- que otros
- límites
- línea
- LINK
- enlaces
- Ubicación
- por más tiempo
- Mira
- Lote
- Inicio
- un mejor mantenimiento.
- para lograr
- Realizar
- el malware
- muchos
- Marzo
- marcha 2020
- Margen
- Cuestiones
- max-ancho
- sentido
- significa
- mientras tanto
- mencionado
- simplemente
- podría
- meses
- más,
- MEJOR DE TU
- Mozilla
- multianual
- nombre
- hace casi
- ¿ Necesita ayuda
- Nuevo
- Next
- normal
- número
- obtenido
- oficial
- digital fuera de línea.
- Viejo
- ONE
- operador
- Optión
- Otro
- Otros
- EL DESARROLLADOR
- parte
- fiesta
- Paul
- (PDF)
- permanentemente
- teléfono
- PHP
- piezas
- Colocar
- Natural
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Por favor
- Popular
- posición
- Artículos
- Imprimir
- probablemente
- Problema
- Programa
- azar
- distancia
- razones
- aprovecha
- reciente
- reorientar
- referido
- relacionado
- reporte
- Informes
- solicitudes
- investigador
- investigadores
- RESTO
- Revelado
- raíz
- mismo
- Buscar
- SEG
- Segundo
- seguro
- Valores
- Securities and Exchange Commission
- parece
- Servidores
- de coches
- Servicios
- set
- ajustes
- Varios
- compartido
- Turno
- tienes
- Mostrar
- sencillos
- simplemente
- desde
- página web
- Sitios Web
- chica
- So
- sólido
- algo
- sofisticado
- especial
- Spot
- comienzo
- fundó
- Comience a
- Zonas
- Sin embargo
- SVG
- Todas las funciones a su disposición
- ¡Prepárate!
- escuchar
- decirles
- temporal
- La
- La Comisión de Bolsa y Valores de EE. UU.
- el mundo
- su
- cosas
- Código
- terceros.
- amenaza
- Tres
- equipo
- a
- parte superior
- tocado
- transferir
- transición
- transparente
- detonante
- principiante
- típicamente
- Finalmente, a veces
- Incertidumbre
- bajo
- Inesperado
- Enlance
- us
- Comisión de Valores de EE.UU
- utilizan el
- Usuario
- variedad
- vía
- visitado
- visitantes
- web
- servidor web
- servicios web
- Página web
- sitios web
- semana
- ¿
- sean
- que
- QUIENES
- amplio
- Amplia gama
- seguirá
- dentro de
- sin
- Palabra
- mundo
- años
- Usted
- tú
- zephyrnet
![T3 Ep101: Infracciones de Uber y LastPass: ¿es 2FA todo lo que parece? [Audio + Texto] PlatoBlockchain Inteligencia de Datos. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "T3 Ep101: Infracciones de Uber y LastPass: ¿es 2FA todo lo que parece? [Audio + Texto]")
![T3 Ep122: ¡Deja de llamar a cada infracción "sofisticada"! [Audio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "T3 Ep122: ¡Deja de llamar a cada infracción \"sofisticada\"! [Audio + Texto]")
