GoDaddy ammette: i truffatori ci colpiscono con malware, avvelenando i siti web dei clienti

Alla fine della scorsa settimana [2023-02-16], la popolare società di web hosting GoDaddy ha depositato la domanda obbligatoria rapporto annuale 10-K con la Securities and Exchange Commission (SEC) degli Stati Uniti.

Sotto il sottotitolo Rischi operativi, GoDaddy ha rivelato che:

Nel dicembre 2022, una terza parte non autorizzata ha ottenuto l'accesso e ha installato malware sui nostri server di hosting cPanel. Il malware ha reindirizzato in modo intermittente i siti Web dei clienti casuali a siti dannosi. Continuiamo a indagare sulla causa principale dell'incidente.

Reindirizzamento dell'URL, noto anche come Inoltro URL, è una caratteristica ineccepibile di HTTP (the protocollo di trasferimento ipertestuale), ed è comunemente usato per un'ampia varietà di motivi.

Ad esempio, potresti decidere di cambiare il nome di dominio principale della tua azienda, ma vuoi mantenere in vita tutti i tuoi vecchi link; la tua azienda potrebbe essere acquisita e avere bisogno di spostare i suoi contenuti web sui server del nuovo proprietario; oppure potresti semplicemente voler portare offline il tuo attuale sito Web per manutenzione e reindirizzare i visitatori a un sito temporaneo nel frattempo.

Un altro uso importante del reindirizzamento dell'URL è dire ai visitatori che arrivano al tuo sito Web tramite il semplice vecchio HTTP non crittografato che dovrebbero invece visitare utilizzando HTTPS (HTTP sicuro).

Quindi, una volta che si sono riconnessi tramite una connessione crittografata, puoi includere un'intestazione speciale per dire al loro browser di iniziare con HTTPS in futuro, anche se fanno clic su un vecchio http://... link o digitare erroneamente http://... a mano.

In effetti, i reindirizzamenti sono così comuni che se frequenti gli sviluppatori Web, li sentirai riferirsi a loro tramite i loro codici HTTP numerici, più o meno allo stesso modo in cui il resto di noi parla di "ottenere un 404" quando provare a visitare una pagina che non esiste più, semplicemente perché 404 è HTTP Not Found codice di errore.

Esistono in realtà diversi codici di reindirizzamento diversi, ma quello che probabilmente sentirai più frequentemente indicato dal numero è a 301 reindirizzamento, noto anche come Moved Permanently. Questo è quando sai che il vecchio URL è stato ritirato ed è improbabile che riappaia mai come collegamento direttamente raggiungibile. Altri includono 303 ed 307 reindirizzamenti, comunemente noti come See Other ed Temporary Redirect, utilizzato quando prevedi che il vecchio URL tornerà in servizio attivo.

Di seguito sono riportati due tipici esempi di reindirizzamenti in stile 301, utilizzati da Sophos.

Il primo indica ai visitatori che utilizzano HTTP di riconnettersi immediatamente utilizzando HTTPS, mentre il secondo esiste in modo che possiamo accettare URL che iniziano con solo sophos.com reindirizzandoli al nome del nostro server Web più convenzionale www.sophos.com.

In ogni caso, la voce di intestazione etichettata Location: dice al client web dove andare dopo, cosa che i browser generalmente fanno automaticamente:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Spostato in modo permanente Content-Length: 0 Posizione: https://sophos.com/ <--riconnettersi qui (stesso posto, ma utilizzando TLS ). . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Spostato in modo permanente Content-Length: 0 Posizione: https://www.sophos.com/ <--reindirizzamento al nostro server Web per l'effettivo contenuto Strict-Transport-Security: . . . <--la prossima volta, utilizza HTTPS per iniziare con . . .

L'opzione della riga di comando -D - sopra dice il curl programma per stampare le intestazioni HTTP nelle risposte, che sono ciò che conta qui. Entrambe queste risposte sono semplici reindirizzamenti, nel senso che non hanno alcun contenuto proprio da restituire, che denotano con la voce di intestazione Content-Length: 0. Tieni presente che i browser in genere hanno limiti incorporati sul numero di reindirizzamenti che seguiranno da qualsiasi URL iniziale, come semplice precauzione per non rimanere intrappolati in un infinito ciclo di reindirizzamento.

Reindirizzare il controllo considerato dannoso

Come puoi immaginare, avere accesso privilegiato alle impostazioni di reindirizzamento web di un'azienda significa effettivamente che puoi hackerare i loro server web senza modificare direttamente i contenuti di quei server.

Invece, puoi reindirizzare subdolamente quelle richieste del server al contenuto che hai impostato altrove, lasciando invariati i dati del server stesso.

Chiunque controlli i propri registri di accesso e caricamento per prove di accessi non autorizzati o modifiche impreviste ai file HTML, CS, PHP e JavaScript che costituiscono il contenuto ufficiale del proprio sito...

…non vedranno nulla di spiacevole, perché i loro dati non saranno effettivamente stati toccati.

Peggio ancora, se gli aggressori attivano reindirizzamenti dannosi solo di tanto in tanto, il sotterfugio può essere difficile da individuare.

Sembra che sia stato quello che è successo a GoDaddy, dato che la società ha scritto in a dichiarazione sul proprio sito che:

All'inizio di dicembre 2022, abbiamo iniziato a ricevere un piccolo numero di reclami dei clienti in merito al reindirizzamento intermittente dei loro siti web. Dopo aver ricevuto questi reclami, abbiamo indagato e scoperto che i reindirizzamenti intermittenti si verificavano su siti Web apparentemente casuali ospitati sui nostri server di hosting condiviso cPanel e non erano facilmente riproducibili da GoDaddy, nemmeno sullo stesso sito Web.

Rintracciare acquisizioni transitorie

Questo è lo stesso tipo di problema che i ricercatori di sicurezza informatica incontrano quando hanno a che fare con annunci Internet avvelenati forniti da ad server di terze parti, ciò che è noto in gergo come malvertising.

---

---

Ovviamente, i contenuti dannosi che appaiono solo in modo intermittente non vengono visualizzati ogni volta che visiti un sito interessato, quindi anche solo l'aggiornamento di una pagina di cui non sei sicuro rischia di distruggere le prove.

Potresti anche accettare perfettamente ragionevolmente che ciò che hai appena visto non è stato un tentativo di attacco, ma semplicemente un errore transitorio.

Questa incertezza e irriproducibilità in genere ritarda la prima segnalazione del problema, che gioca nelle mani dei truffatori.

Allo stesso modo, i ricercatori che danno seguito a segnalazioni di "malvolenza intermittente" non possono nemmeno essere sicuri di essere in grado di accaparrarsi una copia delle cose cattive, anche se sanno dove cercare.

Infatti, quando i criminali utilizzano malware lato server per alterare dinamicamente il comportamento dei servizi Web (apportando modifiche in fase di esecuzione, per usare un termine gergale), possono utilizzare un'ampia gamma di fattori esterni per confondere ulteriormente i ricercatori.

Ad esempio, possono modificare i loro reindirizzamenti o addirittura sopprimerli del tutto, in base all'ora del giorno, al paese da cui stai visitando, se sei su un laptop o un telefono, quale browser stai utilizzando...

…e se loro think sei un ricercatore di sicurezza informatica o no.

---

---

Cosa fare?

Sfortunatamente, GoDaddy ci ha messo quasi tre mesi per raccontare al mondo questa breccia, e anche adesso non c'è molto da fare.

Che tu sia un utente Web che ha visitato un sito ospitato da GoDaddy dal dicembre 2022 (che probabilmente include la maggior parte di noi, che ce ne rendiamo conto o meno), o un operatore di siti Web che utilizza GoDaddy come società di hosting...

…non ne siamo a conoscenza indicatori di compromesso (IoC), o “segnali di attacco”, che potresti aver notato in quel momento o che possiamo consigliarti di cercare ora.

Peggio ancora, anche se GoDaddy descrive la violazione sul suo sito Web sotto il titolo Dichiarazione sui recenti problemi di reindirizzamento del sito web, afferma nella sua Archiviazione 10-K che questo potrebbe essere un assalto molto più lungo di quanto la parola "recente" sembri implicare:

Sulla base della nostra indagine, riteniamo [che questo e altri incidenti risalenti almeno al marzo 2020] facciano parte di una campagna pluriennale condotta da un sofisticato gruppo di attori delle minacce che, tra le altre cose, ha installato malware sui nostri sistemi e ha ottenuto parti di codice relativo ad alcuni servizi all'interno di GoDaddy.

Come accennato in precedenza, GoDaddy ha assicurato alla SEC che "continuiamo a indagare sulla causa principale dell'incidente".

Speriamo che non ci vogliano altri tre mesi prima che l'azienda ci dica cosa scopre nel corso di questa indagine, che sembra risalire a tre anni o più...

---

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/