GoDaddy elismeri: A bűnözők rosszindulatú programokkal, megmérgezett vásárlói webhelyekkel ütöttek ránk

A múlt hét végén [2023-02-16] a népszerű GoDaddy webtárhely-szolgáltató benyújtotta kötelező évi 10-K jelentés az Egyesült Államok Értékpapír- és Tőzsdefelügyeletével (SEC).

Alcím alatt Működési kockázatok, GoDaddy felfedte, hogy:

2022 decemberében egy jogosulatlan harmadik fél hozzáfért a cPanel hosting szervereinkhez, és rosszindulatú programokat telepített azokra. A rosszindulatú program időnként véletlenszerű vásárlói webhelyeket irányított át rosszindulatú webhelyekre. Továbbra is vizsgáljuk az incidens kiváltó okát.

URL átirányítás, más néven URL-továbbítás, a HTTP kivételes funkciója (a hipertext átviteli protokoll), és sokféle okból gyakran használják.

Például dönthet úgy, hogy megváltoztatja cége fő domain nevét, de szeretné életben tartani az összes régi hivatkozását; előfordulhat, hogy cége felvásárol, és webes tartalmát át kell helyeznie az új tulajdonos szervereire; vagy egyszerűen csak offline állapotba szeretné helyezni jelenlegi webhelyét karbantartás céljából, és időközben átirányítani a látogatókat egy ideiglenes webhelyre.

Az URL-átirányítás másik fontos felhasználási módja az, hogy a webhelyére egyszerű régi, titkosítatlan HTTP-n keresztül érkező látogatóknak elmondja, hogy ehelyett HTTPS-t (secure HTTP) kell használniuk.

Ezután, miután újracsatlakoztak egy titkosított kapcsolaton keresztül, beilleszthet egy speciális fejlécet, amely jelzi a böngészőjének, hogy a jövőben HTTPS-sel induljon, még akkor is, ha egy régire kattint. http://... linket, vagy tévedésből írja be http://... kézzel.

Valójában az átirányítások annyira elterjedtek, hogy ha egyáltalán a webfejlesztők körül ácsorog, hallani fogja, ahogy a numerikus HTTP-kódjaikkal hivatkoznak rájuk, ugyanúgy, ahogy a többiek a „404 megszerzéséről” beszélünk. próbáljon meg felkeresni egy már nem létező oldalt, egyszerűen azért 404 ez a HTTP Not Found hibakód.

Valójában több különböző átirányítási kód létezik, de valószínűleg a számmal hivatkozva leggyakrabban az a 301 átirányítás, más néven Moved Permanently. Ekkor tudja, hogy a régi URL-címet megszüntették, és nem valószínű, hogy valaha is megjelenik újra közvetlenül elérhető hivatkozásként. Mások közé tartozik 303 és a 307 átirányítások, közismert nevén See Other és a Temporary Redirect, akkor használatos, ha arra számít, hogy a régi URL végül ismét aktív szolgáltatásba kerül.

Íme két tipikus példa a 301-es stílusú átirányításokra, ahogyan azt a Sophos használ.

Az első azt mondja a HTTP-t használó látogatóknak, hogy azonnal csatlakozzanak újra HTTPS használatával, a második pedig azért létezik, hogy elfogadhassuk azokat az URL-eket, amelyek csak sophos.com úgy, hogy átirányítjuk őket a hagyományos webszerver nevünkre www.sophos.com.

Minden esetben a fejléc bejegyzése címkézett Location: megmondja a webkliensnek, hogy merre kell továbbmennie, amit általában a böngészők tesznek automatikusan:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Tartalom hossza: 0 Tartalom hossza: 1.1 Hely: https://sophos.com/ <--csatlakoztassa újra ide (ugyanott, de TLS használatával ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/301 0 Tartalom hossza: XNUMX Helyszín: https://www.sophos.com/ <--átirányítás webszerverünkre a tényleges tartalom Szigorú-közlekedés-biztonság: . . . <--legközelebb kezdje a HTTPS-t. . .

A parancssori opció -D - fent elmondja a curl program kinyomtatja a HTTP-fejléceket a válaszokban, amelyek itt számítanak. Mindkét válasz egyszerű átirányítás, ami azt jelenti, hogy nincs saját visszaküldhető tartalom, amit a fejlécbejegyzéssel jelölnek. Content-Length: 0. Vegye figyelembe, hogy a böngészők általában beépített korlátokkal rendelkeznek arra vonatkozóan, hogy hány átirányítást fognak követni bármely kezdő URL-ről, egyszerű óvintézkedésként, hogy ne ragadjanak bele egy soha véget nem érő átirányítási ciklus.

Károsnak ítélt vezérlés átirányítása

Elképzelhető, hogy a bennfentes hozzáférés egy vállalat web-átirányítási beállításaihoz hatékonyan azt jelenti, hogy feltörheti a webszervereiket anélkül, hogy közvetlenül módosítaná a kiszolgálók tartalmát.

Ehelyett rejtetten átirányíthatja ezeket a szerverkéréseket a máshol beállított tartalomra, és magát a szerveradatokat változatlanul hagyhatja.

Bárki, aki ellenőrzi hozzáférését és feltölti a naplókat, keresve a jogosulatlan bejelentkezéseket vagy a webhelye hivatalos tartalmát alkotó HTML-, CS-, PHP- és JavaScript-fájlok váratlan módosításait…

…nem fognak látni semmi kellemetlenséget, mert a saját adataikat valójában nem érintették meg.

Ami még rosszabb, ha a támadók csak hébe-hóba indítanak el rosszindulatú átirányításokat, a trükköt nehéz észrevenni.

Úgy tűnik, ez történt a GoDaddy-vel, tekintettel arra, hogy a cég a nyilatkozat saját honlapján, hogy:

2022 decemberének elején néhány ügyfélpanasz érkezett hozzánk a webhelyek időszakos átirányításával kapcsolatban. A panaszok kézhezvételekor kivizsgáltuk, és megállapítottuk, hogy az időszakos átirányítások látszólag véletlenszerű webhelyeken történtek, amelyeket a cPanel megosztott tárhelyszervereinken tároltak, és a GoDaddy még ugyanazon a webhelyen sem reprodukálhatta őket könnyen.

Az átmeneti átvételek nyomon követése

Ez ugyanaz a fajta probléma, mint amilyennel a kiberbiztonsági kutatók találkoznak, amikor harmadik fél hirdetésszerverei által kiszolgált mérgezett internetes hirdetésekkel foglalkoznak – amit a szakzsargonnak hívnak. rosszindulatú hirdetések.

---

---

Nyilvánvaló, hogy a csak időszakosan megjelenő rosszindulatú tartalom nem jelenik meg minden alkalommal, amikor meglátogatja az érintett webhelyet, így egy olyan oldal frissítése is valószínűleg megsemmisíti a bizonyítékokat, amelyekben nem biztos.

Tökéletesen ésszerűen elfogadhatja azt is, hogy amit most látott, az nem támadási kísérlet volt, hanem csupán átmeneti hiba.

Ez a bizonytalanság és reprodukálhatatlanság jellemzően késlelteti a probléma első bejelentését, ami a csalók kezére játszik.

Hasonlóképpen, azok a kutatók, akik nyomon követik az „időszakos rosszindulatúságról” szóló jelentéseket, nem lehetnek biztosak abban, hogy képesek lesznek-e másolatot kapni a rossz dolgokról, még akkor sem, ha tudják, hol keressenek.

Valóban, amikor a bűnözők szerveroldali rosszindulatú programokat használnak a webszolgáltatások viselkedésének dinamikus megváltoztatására (módosítások végrehajtása futási időben, a zsargon kifejezéssel élve), külső tényezők széles skáláját használhatják fel, hogy még jobban megzavarják a kutatókat.

Például módosíthatják az átirányításokat, vagy akár teljesen le is tilthatják azokat a napszaktól, az országtól, ahonnan látogat, akár laptopot, akár telefont használunk, milyen böngészőt használunk…

…és hogy vajon Szerintem kiberbiztonsági kutató vagy, vagy sem.

---

---

Mit kell tenni?

Sajnos GoDaddy majdnem elvitte három hónap elmondani a világnak erről a jogsértésről, és még most sincs sok mit tenni.

Legyen szó webfelhasználóról, aki 2022 decembere óta keresett fel egy GoDaddy által üzemeltetett webhelyet (amely valószínűleg a legtöbbünket magába foglal, akár tudjuk, akár nem), akár olyan webhely-üzemeltető, aki a GoDaddy-t tárhelycégként használja…

…egyikről sem tudunk a kompromisszum mutatói (IoCs), vagy „támadás jelei”, amelyeket akkor észrevehetett, vagy tanácsot adhatunk, hogy most keressen.

Ami még rosszabb, még akkor is, ha a GoDaddy a webhelyén a címszó alatt leírja a jogsértést Nyilatkozat a legutóbbi webhely-átirányítási problémákról, áll benne 10-K bejelentés hogy ez egy sokkal hosszabb ideig tartó támadás lehet, mint azt a „legutóbbi” szó sugallni látszik:

Vizsgálatunk alapján úgy gondoljuk, hogy [ez és más, legalább 2020 márciusáig visszanyúló incidensek] egy kifinomult fenyegetési cselekvőcsoport többéves kampányának részei, amelyek többek között rosszindulatú programokat telepítettek rendszereinkre, és megszerezték a a GoDaddy egyes szolgáltatásaihoz kapcsolódó kód.

Ahogy fentebb említettük, GoDaddy biztosította a SEC-et, hogy „továbbra is vizsgáljuk az incidens kiváltó okát”.

Reméljük, nem kell újabb három hónap, hogy a cég elmondja nekünk, mit tár fel a vizsgálat során, amely úgy tűnik, három évre vagy még tovább nyúlik vissza…

---

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/