GoDaddy mengakui: Penjahat menyerang kami dengan malware, meracuni situs web pelanggan

Akhir minggu lalu [2023-02-16], perusahaan hosting web populer GoDaddy mengajukan kewajibannya laporan 10-K tahunan dengan Komisi Sekuritas dan Bursa AS (SEC).

Di bawah sub-judul Risiko Operasional, GoDaddy mengungkapkan bahwa:

Pada bulan Desember 2022, pihak ketiga yang tidak berwenang memperoleh akses dan menginstal malware di server hosting cPanel kami. Malware sesekali mengalihkan situs web pelanggan acak ke situs berbahaya. Kami terus menyelidiki akar penyebab insiden tersebut.

Pengalihan URL, juga dikenal sebagai penerusan URL, adalah fitur HTTP yang tidak dapat dikecualikan ( protokol transfer hypertext), dan umumnya digunakan untuk berbagai alasan.

Misalnya, Anda mungkin memutuskan untuk mengubah nama domain utama perusahaan Anda, tetapi ingin tetap mempertahankan semua tautan lama Anda; perusahaan Anda mungkin diakuisisi dan perlu mengalihkan konten webnya ke server pemilik baru; atau Anda mungkin hanya ingin menjadikan situs web Anda saat ini offline untuk pemeliharaan, dan mengarahkan pengunjung ke situs sementara untuk sementara waktu.

Penggunaan penting lainnya dari pengalihan URL adalah untuk memberi tahu pengunjung yang tiba di situs web Anda melalui HTTP lama yang tidak terenkripsi bahwa mereka harus mengunjungi menggunakan HTTPS (HTTP aman) sebagai gantinya.

Kemudian, setelah mereka terhubung kembali melalui koneksi terenkripsi, Anda dapat menyertakan header khusus untuk memberi tahu browser mereka agar memulai HTTPS di masa mendatang, bahkan jika mereka mengklik yang lama. http://... tautan, atau salah ketik http://... dengan tangan.

Faktanya, pengalihan sangat umum sehingga jika Anda bergaul dengan pengembang web sama sekali, Anda akan mendengar mereka merujuk mereka dengan kode HTTP numerik mereka, dengan cara yang sama seperti kita semua berbicara tentang "mendapatkan 404" saat kita coba kunjungi halaman yang sudah tidak ada lagi, hanya karena 404 adalah HTTP Not Found kode kesalahan.

Sebenarnya ada beberapa kode pengalihan yang berbeda, tetapi yang mungkin paling sering Anda dengar disebut dengan nomor adalah a 301 mengarahkan ulang, juga dikenal sebagai Moved Permanently. Saat itulah Anda tahu bahwa URL lama telah dihentikan dan sepertinya tidak akan pernah muncul kembali sebagai tautan yang dapat dijangkau secara langsung. Lainnya termasuk 303 dan 307 redirect, umumnya dikenal sebagai See Other dan Temporary Redirect, digunakan saat Anda berharap bahwa URL lama pada akhirnya akan kembali ke layanan aktif.

Berikut adalah dua contoh tipikal pengalihan gaya 301, seperti yang digunakan di Sophos.

Yang pertama memberi tahu pengunjung yang menggunakan HTTP untuk langsung terhubung kembali menggunakan HTTPS, dan yang kedua ada sehingga kami dapat menerima URL yang dimulai dengan hanya sophos.com dengan mengarahkan mereka ke nama server web kami yang lebih konvensional www.sophos.com.

Dalam setiap kasus, entri tajuk diberi label Location: memberi tahu klien web ke mana harus pergi selanjutnya, yang biasanya dilakukan browser secara otomatis:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Dipindahkan Secara Permanen Konten-Panjang: 0 Lokasi: https://sophos.com/ <--hubungkan kembali di sini (tempat yang sama, tetapi menggunakan TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Dipindahkan Secara Permanen Konten-Panjang: 0 Lokasi: https://www.sophos.com/ <--redirect ke server web kami untuk aktual konten Ketat-Transportasi-Keamanan: . . . <--lain kali, harap gunakan HTTPS untuk memulai. . .

Opsi baris perintah -D - di atas memberitahu curl program untuk mencetak tajuk HTTP di balasan, yang penting di sini. Kedua balasan ini adalah pengalihan sederhana, artinya mereka tidak memiliki konten apa pun untuk dikirim kembali, yang mereka tunjukkan dengan entri tajuk Content-Length: 0. Perhatikan bahwa browser umumnya memiliki batasan bawaan tentang berapa banyak pengalihan yang akan mereka ikuti dari URL awal mana pun, sebagai tindakan pencegahan sederhana agar tidak terjebak dalam pengalihan yang tidak pernah berakhir. siklus pengalihan.

Kontrol pengalihan dianggap berbahaya

Seperti yang dapat Anda bayangkan, memiliki akses orang dalam ke pengaturan pengalihan web perusahaan secara efektif berarti Anda dapat meretas server web mereka tanpa mengubah konten server tersebut secara langsung.

Sebagai gantinya, Anda dapat secara diam-diam mengalihkan permintaan server tersebut ke konten yang telah Anda siapkan di tempat lain, membiarkan data server itu sendiri tidak berubah.

Siapa pun yang memeriksa akses mereka dan mengunggah log untuk bukti login tidak sah atau perubahan tak terduga pada file HTML, CS , PHP, dan JavaScript yang membentuk konten resmi situs mereka…

…tidak akan melihat hal yang tidak diinginkan, karena data mereka sendiri sebenarnya tidak akan disentuh.

Lebih buruk lagi, jika penyerang memicu pengalihan berbahaya hanya sesekali, akal-akalan bisa sulit dikenali.

Tampaknya itulah yang terjadi pada GoDaddy, mengingat perusahaan menulis dalam a pernyataan di situsnya sendiri bahwa:

Pada awal Desember 2022, kami mulai menerima sejumlah kecil keluhan pelanggan tentang situs web mereka yang dialihkan sesekali. Setelah menerima keluhan ini, kami menyelidiki dan menemukan bahwa pengalihan intermiten terjadi di situs web acak yang dihosting di server hosting bersama cPanel kami dan tidak dapat direproduksi dengan mudah oleh GoDaddy, bahkan di situs web yang sama.

Melacak pengambilalihan sementara

Ini adalah jenis masalah yang sama yang dihadapi peneliti keamanan dunia maya ketika berhadapan dengan iklan internet beracun yang disajikan oleh server iklan pihak ketiga – yang dikenal dalam jargon sebagai malvertising.

---

---

Jelas, konten berbahaya yang muncul hanya sebentar-sebentar tidak muncul setiap kali Anda mengunjungi situs yang terpengaruh, sehingga menyegarkan halaman yang tidak Anda yakini saja dapat menghilangkan bukti.

Anda bahkan mungkin menerima dengan sangat wajar bahwa apa yang baru saja Anda lihat bukanlah percobaan serangan, tetapi hanya kesalahan sementara.

Ketidakpastian dan tidak dapat direproduksi ini biasanya menunda laporan pertama dari masalah tersebut, yang dimainkan oleh para penjahat.

Demikian pula, para peneliti yang menindaklanjuti laporan tentang "kejahatan intermiten" tidak dapat memastikan bahwa mereka juga dapat memperoleh salinan dari hal-hal buruk, bahkan jika mereka tahu di mana mencarinya.

Memang, ketika penjahat menggunakan malware sisi server untuk mengubah perilaku layanan web secara dinamis (membuat perubahan pada waktu berjalan, untuk menggunakan istilah jargon), mereka dapat menggunakan berbagai faktor eksternal untuk membingungkan peneliti lebih jauh.

Misalnya, mereka dapat mengubah pengalihan mereka, atau bahkan menyembunyikannya sepenuhnya, berdasarkan waktu, negara tempat Anda berkunjung, apakah Anda menggunakan laptop atau ponsel, browser mana yang Anda gunakan…

... dan apakah mereka berpikir Anda seorang peneliti keamanan siber atau bukan.

---

---

Apa yang harus dilakukan?

Sayangnya, GoDaddy mengambil hampir tiga bulan untuk memberi tahu dunia tentang pelanggaran ini, dan bahkan sekarang tidak banyak yang bisa dilakukan.

Baik Anda pengguna web yang mengunjungi situs yang dihosting GoDaddy sejak Desember 2022 (yang mungkin mencakup sebagian besar dari kita, disadari atau tidak), atau operator situs web yang menggunakan GoDaddy sebagai perusahaan hosting…

... kami tidak mengetahui apapun indikator kompromi (IoCs), atau “tanda-tanda serangan”, yang mungkin Anda perhatikan saat itu atau yang dapat kami sarankan untuk Anda telusuri sekarang.

Lebih buruk lagi, meskipun GoDaddy menggambarkan pelanggaran di situs webnya di bawah tajuk utama Pernyataan tentang masalah pengalihan situs web baru-baru ini, itu menyatakan di dalamnya Pengarsipan 10-K bahwa ini mungkin merupakan serangan yang berlangsung lebih lama daripada yang tampaknya disiratkan oleh kata "baru-baru ini":

Berdasarkan penyelidikan kami, kami percaya [bahwa ini dan insiden lain yang terjadi setidaknya pada Maret 2020] adalah bagian dari kampanye multi-tahun oleh kelompok pelaku ancaman canggih yang, antara lain, memasang malware di sistem kami dan memperoleh potongan kode yang terkait dengan beberapa layanan dalam GoDaddy.

Seperti disebutkan di atas, GoDaddy telah meyakinkan SEC bahwa "kami terus menyelidiki akar penyebab insiden tersebut".

Mari berharap tidak perlu tiga bulan lagi bagi perusahaan untuk memberi tahu kami apa yang diungkapkannya selama penyelidikan ini, yang tampaknya memakan waktu tiga tahun atau lebih…

---

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/