GoDaddy tunnistab: Crooks tabas meid pahavara ja mürgitatud klientide veebisaitidega

Eelmise nädala lõpus [2023-02-16] esitas populaarne veebimajutusettevõte GoDaddy oma kohustusliku aasta 10-K aruanne USA väärtpaberi- ja börsikomisjoniga (SEC).

Alapealkirja all Operatsiooniriskid, GoDaddy paljastas, et:

2022. aasta detsembris sai volitamata kolmas osapool meie cPaneli hostimisserveritele juurdepääsu ja installis need pahavarale. Pahavara suunas juhuslikud klientide veebisaidid perioodiliselt ümber pahatahtlikele saitidele. Jätkame juhtumi algpõhjuse uurimist.

URL-i ümbersuunamine, tuntud ka kui URL-i edastamine, on HTTP erakordne funktsioon ( hüperteksti edastamise protokoll) ja seda kasutatakse tavaliselt väga erinevatel põhjustel.

Näiteks võite otsustada muuta oma ettevõtte peamist domeeninime, kuid soovite säilitada kõik oma vanad lingid; teie ettevõte võidakse omandada ja teil on vaja oma veebisisu üle viia uue omaniku serveritesse; või soovite lihtsalt oma praeguse veebisaidi hoolduseks välja lülitada ja suunata külastajad vahepeal ajutisele saidile.

Teine oluline URL-i ümbersuunamise kasutusala on öelda külastajatele, kes saabuvad teie veebisaidile tavalise vana krüptimata HTTP kaudu, et nad peaksid külastama selle asemel HTTPS-i (turvaline HTTP).

Seejärel, kui nad on krüptitud ühenduse kaudu uuesti ühenduse loonud, saate lisada spetsiaalse päise, mis ütleb, et brauser peaks tulevikus HTTPS-iga alustama, isegi kui nad klõpsavad vanal http://... link või sisestage ekslikult http://... käsitsi.

Tegelikult on ümbersuunamised nii tavalised, et kui te veebiarendajatega üldse ringi käite, kuulete neid viitamas neile numbriliste HTTP-koodidega, samamoodi nagu me ülejäänud räägime "404 hankimisest", kui me proovige külastada lehte, mida enam pole, lihtsalt sellepärast 404 on HTTP Not Found veakood.

Tegelikult on mitu erinevat ümbersuunamiskoodi, kuid see, millele kuulete tõenäoliselt kõige sagedamini viidatud numbritega, on a 301 ümbersuunamine, tuntud ka kui Moved Permanently. See on siis, kui teate, et vana URL on kasutuselt kõrvaldatud ja tõenäoliselt ei ilmu see kunagi uuesti otse ligipääsetava lingina. Teised hõlmavad 303 ja 307 ümbersuunamised, üldtuntud kui See Other ja Temporary Redirect, mida kasutatakse siis, kui eeldate, et vana URL naaseb lõpuks aktiivsesse kasutusse.

Siin on kaks tüüpilist näidet 301-stiilis ümbersuunamisest, nagu seda kasutatakse Sophos.

Esimene käsib HTTP-d kasutavatel külastajatel kohe uuesti ühenduse luua, kasutades selle asemel HTTPS-i, ja teine ​​​​on olemas, et saaksime aktsepteerida URL-e, mis algavad ainult sophos.com suunates need meie tavapärasemale veebiserveri nimele www.sophos.com.

Igal juhul märgitakse päise kirje Location: ütleb veebikliendile, kuhu edasi minna, mida brauserid tavaliselt automaatselt teevad:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Püsivalt teisaldatud Sisu pikkus: 0 Asukoht: https://sophos.com/ <--ühendage siin uuesti (sama koht, kuid kasutades TLS-i ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Püsivalt teisaldatud Sisu pikkus: 0 Asukoht: https://www.sophos.com/ <--suunake tegelikuks vaatamiseks meie veebiserverisse sisu Range-transpordi-turvalisus: . . . <--järgmisel korral kasutage alustuseks HTTPS-i. . .

Käsurea valik -D - ülal ütleb curl programm vastuste HTTP-päiste printimiseks, mis on siin olulised. Mõlemad vastused on lihtsad ümbersuunamised, mis tähendab, et neil ei ole tagasisaatmiseks oma sisu, mida nad tähistavad päise kirjega Content-Length: 0. Pange tähele, et üldiselt on brauseritel sisseehitatud piirangud sellele, kui palju ümbersuunamisi nad mis tahes alg-URL-ilt järgivad. See on lihtne ettevaatusabinõu, et mitte sattuda lõputusse ümbersuunamise tsükkel.

Kahjulikuks peetav ümbersuunamiskontroll

Nagu võite ette kujutada, tähendab siseringi juurdepääs ettevõtte veebi ümbersuunamise sätetele tõhusalt seda, et saate nende veebiservereid häkkida ilma nende serverite sisu otseselt muutmata.

Selle asemel saate need serveripäringud hiilivalt ümber suunata sisule, mille olete mujal seadistanud, jättes serveri andmed muutumatuks.

Igaüks, kes kontrollib oma juurdepääsu ja laadib üles logisid, et leida tõendeid volitamata sisselogimiste või ootamatute muudatuste kohta HTML-, CS-, PHP- ja JavaScript-failides, mis moodustavad nende saidi ametliku sisu…

…ei näe midagi ebameeldivat, sest nende endi andmeid ei ole tegelikult puudutatud.

Veelgi hullem on see, et kui ründajad käivitavad pahatahtlikke ümbersuunamisi vaid aeg-ajalt, võib varjamist olla raske märgata.

Tundub, et see juhtus GoDaddyga, arvestades, et ettevõte kirjutas a avaldus oma saidil, mis:

2022. aasta detsembri alguses hakkasime saama vähesel hulgal klientide kaebusi nende veebisaitide perioodilise ümbersuunamise kohta. Nende kaebuste saamisel uurisime ja leidsime, et vahelduvad ümbersuunamised toimusid näiliselt juhuslikel veebisaitidel, mida hostisid meie cPaneli jagatud hostimise serverid ja mida GoDaddy ei suutnud hõlpsasti reprodutseerida isegi samal veebisaidil.

Mööduvate ülevõtmiste jälgimine

See on samasugune probleem, millega kübserjulgeoleku uurijad kokku puutuvad, kui nad tegelevad mürgitatud Interneti-reklaamidega, mida esitavad kolmandate osapoolte reklaamiserverid – mida žargoonis nimetatakse vägivaldsus.

---

---

Ilmselgelt ei ilmu pahatahtlikku sisu, mis ilmub vaid vahelduvalt, iga kord, kui külastate mõjutatud saiti, nii et isegi lihtsalt lehe värskendamine, milles te pole kindel, hävitab tõendid tõenäoliselt.

Võite isegi täiesti mõistlikult nõustuda, et see, mida just nägite, ei olnud ründekatse, vaid lihtsalt mööduv viga.

See määramatus ja taasesitamatus lükkab tavaliselt esimese probleemist teatamise edasi, mis mängib kelmide kätte.

Samuti ei saa teadlased, kes jälgivad „vahelduva pahatahtlikkuse” teateid, olla kindlad, kas neil õnnestub ka halbadest asjadest koopia hankida, isegi kui nad teavad, kust otsida.

Tõepoolest, kui kurjategijad kasutavad serveripoolset pahavara veebiteenuste käitumise dünaamiliseks muutmiseks (muudatuste tegemine tööajal, kui kasutada žargooni terminit), võivad nad teadlaste veelgi segadusse ajamiseks kasutada mitmesuguseid väliseid tegureid.

Näiteks võivad nad muuta ümbersuunamisi või isegi need täielikult maha jätta, lähtudes kellaajast, riigist, kust te külastate, olenevalt sellest, kas kasutate sülearvutit või telefoni, millist brauserit kasutate…

…ja kas nad mõtlema kas sa oled küberjulgeoleku uurija või mitte.

---

---

Mida teha?

Kahjuks võttis GoDaddy peaaegu kolm kuud sellest rikkumisest maailmale rääkida ja isegi praegu pole enam palju edasi minna.

Olenemata sellest, kas olete veebikasutaja, kes on külastanud GoDaddy hostitud saiti alates 2022. aasta detsembrist (mis hõlmab tõenäoliselt enamikku meist, olenemata sellest, kas me mõistame seda või mitte), või veebisaidi operaator, kes kasutab GoDaddyt hostimisettevõttena…

…me ei ole neist teadlikud kompromissi näitajad (IoC-d) või „ründemärgid”, mida võisite sel ajal märgata või mida me soovitame teil kohe otsida.

Veelgi hullem, kuigi GoDaddy kirjeldab rikkumist oma veebisaidil pealkirja all Avaldus hiljutiste veebisaidi ümbersuunamisprobleemide kohta, märgitakse oma 10-K esitamine et see võib olla palju kauem kestev rünnak, kui sõna "hiljutine" näib viitavat:

Meie uurimise põhjal usume, [et see ja muud juhtumid, mis ulatuvad tagasi vähemalt 2020. aasta märtsini], on osa keeruka ohus osalejate rühma mitmeaastasest kampaaniast, mis muu hulgas installis meie süsteemidesse pahavara ja hankis osa kood, mis on seotud mõne GoDaddy teenusega.

Nagu eespool mainitud, on GoDaddy SEC-ile kinnitanud, et "jätkame intsidendi algpõhjuse uurimist".

Loodame, et ettevõttel ei kulu veel kolme kuud, et meile teada anda, mida ta selle uurimise käigus avastas, mis näib ulatuvat kolm aastat või kauem...

---

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/