先週の終わり [2023-02-16]、人気のある Web ホスティング会社の GoDaddy がその義務を申請しました 年次 10-K レポート 米国証券取引委員会(SEC)と。
小見出しの下 オペレーショナルリスク、GoDaddy は次のことを明らかにしました。
2022 年 XNUMX 月、無許可の第三者が当社の cPanel ホスティング サーバーにアクセスし、マルウェアをインストールしました。 このマルウェアは、ランダムな顧客の Web サイトを断続的に悪意のあるサイトにリダイレクトしました。 インシデントの根本原因の調査を続けています。
URL リダイレクトとも呼ばれます。 URL転送、HTTP の例外のない機能です ( ハイパーテキスト転送プロトコル)、さまざまな理由で一般的に使用されます。
たとえば、会社のメイン ドメイン名を変更することを決定したとしても、古いリンクはすべて維持したい場合があります。 あなたの会社が買収され、その Web コンテンツを新しい所有者のサーバーに移す必要があるかもしれません。 または、メンテナンスのために現在の Web サイトをオフラインにし、その間に訪問者を一時的なサイトにリダイレクトしたいだけかもしれません。
URL リダイレクトのもう XNUMX つの重要な用途は、暗号化されていない単純な古い HTTP 経由で Web サイトに到着した訪問者に、代わりに HTTPS (セキュア HTTP) を使用してアクセスする必要があることを伝えることです。
次に、暗号化された接続を介して再接続したら、特別なヘッダーを含めて、古いヘッダーをクリックした場合でも、今後 HTTPS で開始するようにブラウザーに指示できます。 http://... リンク、または誤って入力 http://... 手で。
実際、リダイレクトは非常に一般的であるため、Web 開発者の近くにいると、彼らが数字の HTTP コードでリダイレクトを参照しているのを聞くでしょう。という理由だけで、存在しないページにアクセスしようとしています 404 HTTPの Not Found エラーコード。
実際にはいくつかの異なるリダイレクト コードがありますが、おそらく最も頻繁に番号で参照されるのは、 301 リダイレクト、別名 Moved Permanently. その時点で、古い URL が廃止され、直接到達可能なリンクとして再表示される可能性は低いことがわかります。 その他には、 303 および 307 リダイレクト、通称 See Other および Temporary Redirect、古い URL が最終的にアクティブなサービスに戻ると予想される場合に使用されます。
Sophos で使用されている 301 スタイルのリダイレクトの XNUMX つの典型的な例を次に示します。
XNUMX つ目は、HTTP を使用している訪問者に、代わりに HTTPS を使用してすぐに再接続するように伝えます。XNUMX つ目は、単に で始まる URL を受け入れることができるようにするために存在します。 sophos.com それらをより従来のWebサーバー名にリダイレクトすることにより www.sophos.com.
いずれの場合も、ラベル付けされたヘッダー エントリ Location: Web クライアントに次に進むべき場所を伝えます。通常、ブラウザは自動的に行います。
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://sophos.com/ <--ここで再接続 (同じ場所ですが、TLS を使用) )。 . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://www.sophos.com/ content Strict-Transport-Security: . . . <--次回は、HTTPS を使用して開始してください。 . .
コマンドラインオプション -D - 上記は curl ここで重要なのは、応答の HTTP ヘッダーを出力するプログラムです。 これらの応答はどちらも単純なリダイレクトです。つまり、送り返す独自のコンテンツがないことを意味します。これは、ヘッダー エントリで示されます。 Content-Length: 0. 終わりのない状況に巻き込まれないようにするための簡単な予防措置として、ブラウザーには通常、開始 URL からたどるリダイレクトの数に制限が組み込まれていることに注意してください。 リダイレクト サイクル.
有害と見なされるリダイレクト制御
ご想像のとおり、会社の Web リダイレクト設定への内部者アクセス権を持つということは、サーバーのコンテンツを直接変更せずに Web サーバーをハッキングできることを意味します。
代わりに、これらのサーバー リクエストを別の場所で設定したコンテンツにこっそりリダイレクトして、サーバー データ自体を変更しないようにすることができます。
アクセスとアップロード ログをチェックして、サイトの公式コンテンツを構成する HTML、CS、PHP、および JavaScript ファイルへの不正なログインや予期しない変更の証拠を探している人…
…自分のデータが実際に変更されていないため、不都合なことは何もありません。
さらに悪いことに、攻撃者が悪意のあるリダイレクトをときどきトリガーするだけの場合、策略を発見するのが難しくなる可能性があります.
それが GoDaddy に起こったことのようです。 ステートメント 独自のサイトで:
2022 年 XNUMX 月初旬、ウェブサイトが断続的にリダイレクトされるというお客様からの苦情が少数寄せられ始めました。 これらの苦情を受けて調査したところ、cPanel 共有ホスティング サーバーでホストされている一見ランダムな Web サイトで断続的なリダイレクトが発生しており、同じ Web サイトであっても GoDaddy で簡単に再現できないことがわかりました。
一時的な乗っ取りの追跡
これは、サイバーセキュリティの研究者が、サードパーティの広告サーバーによって提供される有害なインターネット広告に対処する際に遭遇するのと同じ種類の問題です。 悪意のある.
明らかに、断続的にのみ表示される悪意のあるコンテンツは、影響を受けるサイトにアクセスするたびに表示されるわけではないため、よくわからないページを更新するだけでも、証拠が破棄される可能性があります.
今見たのは攻撃の試みではなく、単なる一時的なエラーであったことを完全に合理的に受け入れるかもしれません。
この不確実性と再現性のなさは、通常、問題の最初の報告を遅らせ、詐欺師の手に渡ります。
同様に、「断続的な悪意」の報告をフォローアップする研究者は、どこを見ればよいか分かっていても、悪いもののコピーを手に入れることができるかどうか確信が持てません.
実際、犯罪者がサーバー側のマルウェアを使用して Web サービスの動作を動的に変更する (変更を加える) 場合、 実行時、専門用語を使用する場合)、彼らは広範囲の外的要因を使用して、研究者をさらに混乱させる可能性があります。
たとえば、時間帯、アクセスしている国、ラップトップか電話か、使用しているブラウザに基づいて、リダイレクトを変更したり、完全に抑制したりすることさえできます…
…そして、彼らが 考える あなたがサイバーセキュリティの研究者かどうか。
何をするか?
残念ながら、GoDaddy はほぼ 3ヶ月 この違反について世界に伝えるために、そして今でも続けることはあまりありません.
あなたが 2022 年 XNUMX 月以降に GoDaddy がホストするサイトにアクセスした Web ユーザー (気付いているかどうかにかかわらず、おそらく私たちのほとんどを含む) であろうと、GoDaddy をホスティング会社として使用している Web サイト運営者であろうと…
…私たちは何も認識していません 侵入の痕跡 (IoC)、または「攻撃の兆候」であり、その時点で気付いていた可能性があるか、今すぐ検索することをお勧めします。
さらに悪いことに、GoDaddy は Web サイトの見出しの下に侵害について説明していますが、 最近のウェブサイトのリダイレクトの問題に関する声明、それはその中で述べています 10-Kファイリング これは、「最近」という言葉が意味するように思われるよりも、はるかに長期にわたる猛攻撃である可能性があります。
私たちの調査に基づいて、[これと少なくとも 2020 年 XNUMX 月にさかのぼるその他のインシデント] は、洗練された脅威アクター グループによる複数年にわたるキャンペーンの一部であり、とりわけ、私たちのシステムにマルウェアをインストールし、 GoDaddy 内の一部のサービスに関連するコード。
前述のように、GoDaddy は SEC に対し、「インシデントの根本原因を調査し続ける」ことを保証しています。
同社がこの調査の過程で明らかになったことを私たちに伝えるのに、さらにXNUMXか月もかからないことを願いましょう。調査はXNUMX年以上前に遡るようです…
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- できる
- 私たちについて
- 上記の.
- 絶対の
- 同意
- アクセス
- 取得
- アクティブ
- 実際に
- Ad
- 広告
- に対して
- すべて
- 間で
- および
- 別の
- 周りに
- 確実な
- 攻撃
- 試みた
- 著者
- オート
- 自動的に
- バック
- 背景画像
- 悪い
- ベース
- なぜなら
- さ
- 信じる
- 国境
- ボトム
- 違反
- ブラウザ
- ブラウザ
- 内蔵
- キャンペーン
- 場合
- キャッチ
- 原因となる
- センター
- 変化する
- 変更
- 点検
- クライアント
- コード
- カラー
- COM
- 来ます
- 委員会
- コマンドと
- 一般に
- 会社
- 会社の
- 不満
- 接続
- 見なさ
- コンテンツ
- 中身
- 続ける
- コントロール
- 従来の
- 国
- コース
- カバー
- 犯罪者
- 電流プローブ
- 顧客
- サイバーセキュリティ
- データ
- 年代測定
- 中
- 取引
- 12月
- 遅延
- 破壊する
- 開発者
- 異なります
- 直接に
- ディスプレイ
- そうではありません
- ドメイン
- ドメイン名
- ドント
- ダウン
- 動的に
- 各
- 早い
- 簡単に
- 効果的に
- どちら
- 他の場所で
- では使用できません
- 完全に
- エントリ
- エラー
- さらに
- EVER
- あらゆる
- 証拠
- 例
- 例
- 交換
- 存在
- 期待する
- 外部
- 要因
- 特徴
- 名
- 発見
- 頻繁に
- から
- さらに
- 未来
- 一般に
- 取得する
- 受け
- 与えられた
- Go
- 行く
- グラブ
- グループ
- ハック
- ハンド
- ハンド
- ハング
- が起こった
- ハード
- 持って
- ヘッダーの
- 見出し
- 聞く
- 高さ
- こちら
- ヒット
- 希望
- 主催
- ホスティング
- ホバー
- 認定条件
- HTML
- HTTPS
- 重要
- in
- 事件
- include
- 含ま
- インサイダー
- インストール
- を取得する必要がある者
- インターネット
- 調べる
- 調査
- IT
- 自体
- 専門用語
- JavaScriptを
- キープ
- 知っている
- 既知の
- ノートパソコン
- 姓
- 残す
- 可能性が高い
- 制限
- LINE
- LINK
- リンク
- 場所
- より長いです
- 見て
- たくさん
- メイン
- メンテナンス
- make
- 作成
- マルウェア
- 多くの
- 3月
- 行進2020
- マージン
- 事態
- 最大幅
- 意味
- 手段
- その間
- 言及した
- 単に
- かもしれない
- ヶ月
- 他には?
- 最も
- モジラ
- 複数年
- 名
- ほぼ
- 必要
- 新作
- 次の
- 通常の
- 数
- 得
- 公式
- オンライン
- 古い
- ONE
- オペレータ
- オプション
- その他
- その他
- 自分の
- 部
- パーティー
- Paul Cairns
- 永久に
- 電話
- PHP
- ピース
- 場所
- シンプルスタイル
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- お願いします
- 人気
- 位置
- 投稿
- 印刷物
- 多分
- 問題
- 演奏曲目
- ランダム
- 範囲
- 理由は
- 受け入れ
- 最近
- リダイレクト
- 言及
- 関連する
- レポート
- レポート
- リクエスト
- 研究者
- 研究者
- REST
- 明らかに
- ルート
- 同じ
- を検索
- SEC
- 二番
- 安全に
- 有価証券
- 証券取引委員会
- と思われる
- サーバー
- サービス
- サービス
- セッションに
- 設定
- いくつかの
- shared
- シフト
- すべき
- 表示する
- 簡単な拡張で
- 単に
- から
- ウェブサイト
- サイト
- 小さい
- So
- 固体
- 一部
- 洗練された
- 特別
- Spot
- start
- 開始
- 起動
- 米国
- まだ
- SVG
- システム
- 取る
- Talk
- 伝える
- 一時的
- 米国証券取引委員会
- 世界
- アプリ環境に合わせて
- 物事
- 三番
- サードパーティ
- 脅威
- 三
- 時間
- 〜へ
- top
- 触れ
- 転送
- 遷移
- トランスペアレント
- トリガー
- 典型的な
- 一般的に
- 最終的に
- 不確実性
- 下
- 予期しない
- URL
- us
- 米国証券取引委員会
- つかいます
- ユーザー
- 多様
- 、
- 訪問
- 訪問者
- ウェブ
- ウェブサーバー
- Webサービス
- ウェブサイト
- ウェブサイト
- 週間
- この試験は
- かどうか
- which
- 誰
- ワイド
- 広い範囲
- 意志
- 以内
- 無し
- Word
- 世界
- 年
- You
- あなたの
- ゼファーネット
![S3 Ep101: Uber と LastPass の侵害 – 取り締まられるのは 2FA だけですか? [音声 + テキスト] PlatoBlockchain データ インテリジェンス。垂直検索。あい。](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "シーズン 3 Ep101: Uber と LastPass の違反 – 2FA だけで解決できるのか? 【音声+テキスト】")
