GoDaddy geeft toe: boeven sloegen ons met malware, vergiftigde websites van klanten

Eind vorige week [2023-02-16] diende het populaire webhostingbedrijf GoDaddy zijn verplichte aanvraag in jaarlijkse 10-K rapport met de Amerikaanse Securities and Exchange Commission (SEC).

Onder de ondertitel Operationele risico's, onthulde GoDaddy dat:

In december 2022 heeft een ongeautoriseerde derde partij toegang gekregen tot en malware geïnstalleerd op onze cPanel-hostingservers. De malware leidde met tussenpozen willekeurige websites van klanten om naar kwaadaardige sites. We blijven de oorzaak van het incident onderzoeken.

URL-omleiding, ook wel bekend als URL doorsturen, is een vaste eigenschap van HTTP (de hypertext transfer protocol), en wordt om uiteenlopende redenen vaak gebruikt.

U kunt bijvoorbeeld besluiten om de hoofddomeinnaam van uw bedrijf te wijzigen, maar u wilt al uw oude links behouden; uw bedrijf wordt mogelijk overgenomen en moet zijn webinhoud verplaatsen naar de servers van de nieuwe eigenaar; of misschien wilt u gewoon uw huidige website offline halen voor onderhoud en in de tussentijd bezoekers doorverwijzen naar een tijdelijke site.

Een ander belangrijk gebruik van URL-omleiding is om bezoekers die op uw website aankomen via gewone oude niet-versleutelde HTTP te vertellen dat ze in plaats daarvan HTTPS (beveiligde HTTP) moeten gebruiken.

Als ze vervolgens opnieuw verbinding hebben gemaakt via een versleutelde verbinding, kun je een speciale header toevoegen om hun browser te vertellen om in de toekomst met HTTPS te beginnen, zelfs als ze op een oude http://... link, of typ per ongeluk in http://... met de hand.

In feite zijn omleidingen zo gewoon dat als je überhaupt bij webontwikkelaars rondhangt, je ze hoort verwijzen naar hen met hun numerieke HTTP-codes, op ongeveer dezelfde manier waarop de rest van ons praat over "een 404 krijgen" wanneer we probeer een pagina te bezoeken die niet meer bestaat, simpelweg omdat 404 is HTTP Not Found foutcode.

Er zijn eigenlijk verschillende omleidingscodes, maar degene waarnaar u waarschijnlijk het vaakst zult horen, is een 301 omleiding, ook wel bekend als Moved Permanently. Dat is het moment waarop u weet dat de oude URL buiten gebruik is gesteld en waarschijnlijk nooit meer zal verschijnen als een direct bereikbare link. Anderen omvatten 303 en 307 omleidingen, algemeen bekend als See Other en Temporary Redirect, gebruikt wanneer u verwacht dat de oude URL uiteindelijk weer actief zal worden.

Hier zijn twee typische voorbeelden van omleidingen in 301-stijl, zoals gebruikt bij Sophos.

De eerste vertelt bezoekers die HTTP gebruiken om meteen opnieuw verbinding te maken via HTTPS, en de tweede bestaat zodat we URL's kunnen accepteren die beginnen met alleen sophos.com door ze om te leiden naar onze meer conventionele webservernaam www.sophos.com.

In elk geval is het koptekstitem gelabeld Location: vertelt de webclient waar hij vervolgens heen moet, wat browsers over het algemeen automatisch doen:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Permanent verplaatst Content-Length: 0 Locatie: https://sophos.com/ <--hier opnieuw verbinding maken (dezelfde plaats, maar met TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Permanent verplaatst Content-Length: 0 Locatie: https://www.sophos.com/ <--redirect naar onze webserver voor actuele inhoud Strict-Transport-Security: . . . <--gebruik de volgende keer HTTPS om te beginnen met . . .

De opdrachtregeloptie -D - hierboven vertelt de curl programma om de HTTP-headers in de antwoorden af ​​te drukken, en dat is waar het hier om gaat. Beide antwoorden zijn eenvoudige omleidingen, wat betekent dat ze geen eigen inhoud hebben om terug te sturen, wat ze aangeven met de koptekst Content-Length: 0. Houd er rekening mee dat browsers over het algemeen ingebouwde limieten hebben voor het aantal omleidingen dat ze vanaf elke start-URL zullen volgen, als een eenvoudige voorzorgsmaatregel om niet verstrikt te raken in een oneindige omleidingscyclus.

Omleidingscontrole als schadelijk beschouwd

Zoals u zich kunt voorstellen, betekent het hebben van insider-toegang tot de webomleidingsinstellingen van een bedrijf dat u hun webservers kunt hacken zonder de inhoud van die servers rechtstreeks te wijzigen.

In plaats daarvan kunt u die serververzoeken stiekem omleiden naar inhoud die u elders hebt ingesteld, waarbij de servergegevens zelf ongewijzigd blijven.

Iedereen die zijn toegangs- en uploadlogboeken controleert op bewijs van ongeautoriseerde aanmeldingen of onverwachte wijzigingen in de HTML-, CS-, PHP- en JavaScript-bestanden waaruit de officiële inhoud van zijn site bestaat...

... zullen niets onaangenaams zien, omdat hun eigen gegevens niet echt zijn aangeraakt.

Erger nog, als aanvallers slechts af en toe kwaadaardige omleidingen activeren, kan de uitvlucht moeilijk te herkennen zijn.

Dat lijkt te zijn gebeurd met GoDaddy, aangezien het bedrijf schreef in een verklaring op zijn eigen site dat:

Begin december 2022 begonnen we een klein aantal klachten van klanten te ontvangen over het af en toe omleiden van hun websites. Na ontvangst van deze klachten hebben we onderzoek gedaan en geconstateerd dat de intermitterende omleidingen plaatsvonden op ogenschijnlijk willekeurige websites die werden gehost op onze gedeelde cPanel-hostingservers en niet eenvoudig door GoDaddy konden worden gereproduceerd, zelfs niet op dezelfde website.

Tijdelijke overnames opsporen

Dit is hetzelfde soort probleem dat onderzoekers op het gebied van cyberbeveiliging tegenkomen wanneer ze te maken hebben met vergiftigde internetadvertenties die worden aangeboden door advertentieservers van derden - wat in het jargon bekend staat als malvertising.

---

---

Het is duidelijk dat schadelijke inhoud die slechts af en toe verschijnt, niet elke keer dat u een getroffen site bezoekt, verschijnt, zodat zelfs het vernieuwen van een pagina waarvan u niet zeker bent, het bewijs waarschijnlijk zal vernietigen.

Je zou zelfs volkomen redelijkerwijs kunnen accepteren dat wat je net zag geen aanvalspoging was, maar slechts een tijdelijke fout.

Deze onzekerheid en onreproduceerbaarheid vertraagt ​​meestal de eerste melding van het probleem, wat de oplichters in de kaart speelt.

Evenzo kunnen onderzoekers die meldingen van "intermitterende boosaardigheid" opvolgen, er ook niet zeker van zijn dat ze een kopie van de slechte dingen zullen kunnen bemachtigen, zelfs als ze weten waar ze moeten zoeken.

Wanneer criminelen server-side malware gebruiken om het gedrag van webservices dynamisch te veranderen (making changes tijdens runtime, om de jargonterm te gebruiken), kunnen ze een breed scala aan externe factoren gebruiken om onderzoekers nog verder in de war te brengen.

Ze kunnen bijvoorbeeld hun omleidingen wijzigen of zelfs helemaal onderdrukken op basis van het tijdstip van de dag, het land van waaruit u bezoekt, of u nu een laptop of een telefoon gebruikt, welke browser u gebruikt...

…en of ze denken je bent een cybersecurity-onderzoeker of niet.

---

---

Wat te doen?

Helaas nam GoDaddy bijna drie maanden om de wereld over deze breuk te vertellen, en zelfs nu is er niet veel aan de hand.

Of je nu een webgebruiker bent die sinds december 2022 een door GoDaddy gehoste site heeft bezocht (waartoe waarschijnlijk de meesten van ons behoren, of we het ons nu realiseren of niet), of een website-exploitant die GoDaddy als hostingbedrijf gebruikt...

… we zijn ons er niet van bewust indicatoren van een compromis (IoC's), of "tekens van aanval", die u destijds misschien heeft opgemerkt of waarvan we u kunnen adviseren om nu te zoeken.

Erger nog, ook al beschrijft GoDaddy de inbreuk op zijn website onder de kop Verklaring over recente problemen met het omleiden van websites, staat er in 10-K-aanvraag dat dit een veel langer lopende aanval kan zijn dan het woord "recente" lijkt te impliceren:

Op basis van ons onderzoek zijn we van mening [dat dit en andere incidenten die teruggaan tot ten minste maart 2020] deel uitmaken van een meerjarige campagne van een geavanceerde groep van bedreigingsactoren die onder andere malware op onze systemen hebben geïnstalleerd en stukjes van code met betrekking tot sommige services binnen GoDaddy.

Zoals hierboven vermeld, heeft GoDaddy de SEC verzekerd dat "we doorgaan met het onderzoeken van de oorzaak van het incident".

Laten we hopen dat het niet nog eens drie maanden duurt voordat het bedrijf ons vertelt wat het ontdekt in de loop van dit onderzoek, dat drie jaar of langer lijkt te duren...

---

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/