GoDaddy przyznaje: Oszuści atakują nas złośliwym oprogramowaniem, zatruwają strony internetowe klientów

Pod koniec ubiegłego tygodnia [2023-02-16] popularna firma hostingowa GoDaddy złożyła wniosek roczny raport 10-K w amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC).

Pod nagłówkiem Ryzyko operacyjne, GoDaddy ujawnił, że:

W grudniu 2022 roku nieupoważniona osoba trzecia uzyskała dostęp do naszych serwerów hostingowych cPanel i zainstalowała je na nich. Szkodliwe oprogramowanie sporadycznie przekierowywało losowe witryny klientów do złośliwych witryn. Nadal badamy pierwotną przyczynę zdarzenia.

Przekierowanie adresu URL, znane również jako Przekazywanie adresów URL, jest wyjątkową cechą protokołu HTTP (the protokół przesyłania hipertekstu) i jest powszechnie używany z wielu różnych powodów.

Na przykład możesz zdecydować się na zmianę głównej nazwy domeny swojej firmy, ale chcesz zachować wszystkie swoje stare linki; Twoja firma może zostać przejęta i będzie musiała przenieść swoją zawartość internetową na serwery nowego właściciela; możesz też po prostu wyłączyć swoją obecną witrynę w celu konserwacji i przekierować odwiedzających do tymczasowej witryny.

Innym ważnym zastosowaniem przekierowania adresu URL jest poinformowanie odwiedzających, którzy docierają do Twojej witryny przez zwykły, stary niezaszyfrowany protokół HTTP, że powinni zamiast tego korzystać z protokołu HTTPS (bezpieczny HTTP).

Następnie, po ponownym nawiązaniu połączenia przez szyfrowane połączenie, możesz dołączyć specjalny nagłówek, aby poinformować ich przeglądarkę, aby w przyszłości zaczynała od HTTPS, nawet jeśli kliknie starą http://... link lub błędnie wpisać http://... ręcznie.

W rzeczywistości przekierowania są tak powszechne, że jeśli w ogóle przebywasz wśród twórców stron internetowych, usłyszysz, jak odwołują się do nich za pomocą numerycznych kodów HTTP, w podobny sposób, w jaki reszta z nas mówi o „uzyskaniu 404”, kiedy spróbuj odwiedzić stronę, która już nie istnieje, po prostu dlatego 404 jest HTTP Not Found Kod błędu.

W rzeczywistości istnieje kilka różnych kodów przekierowań, ale ten, o którym najczęściej słyszysz, to a 301 przekierowanie, znane również jako Moved Permanently. Wtedy wiesz, że stary adres URL został wycofany i jest mało prawdopodobne, aby kiedykolwiek pojawił się ponownie jako bezpośrednio osiągalny link. Inne obejmują 303 i 307 przekierowania, powszechnie znane jako See Other i Temporary Redirect, używany, gdy spodziewasz się, że stary adres URL ostatecznie wróci do aktywnej usługi.

Oto dwa typowe przykłady przekierowań w stylu 301, stosowanych w Sophos.

Pierwszy mówi odwiedzającym korzystającym z HTTP, aby natychmiast ponownie połączyli się za pomocą HTTPS, a drugi istnieje, abyśmy mogli zaakceptować adresy URL, które zaczynają się od sophos.com przekierowując ich do naszej bardziej konwencjonalnej nazwy serwera WWW www.sophos.com.

W każdym przypadku wpis nagłówka oznaczony Location: mówi klientowi WWW, gdzie ma iść dalej, co przeglądarki zazwyczaj wykonują automatycznie:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 przeniesiony na stałe Content-Length: 0 Lokalizacja: https://sophos.com/ <--reconnect tutaj (to samo miejsce, ale przy użyciu TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Przeniesiony na stałe Długość treści: 0 Lokalizacja: https://www.sophos.com/ <--przekieruj na nasz serwer internetowy, aby uzyskać zawartość Strict-Transport-Security: . . . <--następnym razem użyj HTTPS na początek . . .

Opcja wiersza poleceń -D - powyżej mówi curl program do drukowania nagłówków HTTP w odpowiedziach, które są tutaj ważne. Obie te odpowiedzi są prostymi przekierowaniami, co oznacza, że ​​nie mają własnej treści do odesłania, co oznaczają wpisem w nagłówku Content-Length: 0. Należy pamiętać, że przeglądarki mają na ogół wbudowane ograniczenia dotyczące liczby przekierowań, które wykonają z dowolnego początkowego adresu URL, jako proste zabezpieczenie przed wpadnięciem w niekończącą się cykl przekierowań.

Kontrola przekierowań uznana za szkodliwą

Jak możesz sobie wyobrazić, posiadanie wewnętrznego dostępu do ustawień przekierowań sieciowych firmy skutecznie oznacza, że ​​możesz włamać się na jej serwery sieciowe bez bezpośredniej modyfikacji zawartości tych serwerów.

Zamiast tego możesz podstępnie przekierować te żądania serwera do treści skonfigurowanych w innym miejscu, pozostawiając niezmienione same dane serwera.

Każdy, kto sprawdza swoje dzienniki dostępu i przesyłania w poszukiwaniu dowodów na nieautoryzowane logowanie lub nieoczekiwane zmiany w plikach HTML, CS, PHP i JavaScript, które składają się na oficjalną zawartość ich witryny…

…nie zobaczą nic złego, ponieważ ich własne dane nie zostaną naruszone.

Co gorsza, jeśli atakujący uruchamiają złośliwe przekierowania tylko od czasu do czasu, podstęp może być trudny do wykrycia.

Wydaje się, że tak właśnie stało się z GoDaddy, biorąc pod uwagę, że firma napisała w oświadczenie na własnej stronie, że:

Na początku grudnia 2022 r. zaczęliśmy otrzymywać niewielką liczbę skarg klientów na sporadyczne przekierowania na ich witryny. Po otrzymaniu tych skarg zbadaliśmy sprawę i stwierdziliśmy, że sporadyczne przekierowania miały miejsce w pozornie przypadkowych witrynach hostowanych na naszych współdzielonych serwerach hostingowych cPanel i nie były łatwe do odtworzenia przez firmę GoDaddy, nawet w tej samej witrynie.

Śledzenie przejściowych przejęć

Jest to ten sam rodzaj problemu, jaki napotykają badacze bezpieczeństwa cybernetycznego, gdy mają do czynienia z zatrutymi reklamami internetowymi wyświetlanymi przez zewnętrzne serwery reklamowe – co w żargonie jest znane jako malvertising.

---

---

Oczywiście złośliwa zawartość, która pojawia się sporadycznie, nie pojawia się za każdym razem, gdy odwiedzasz witrynę, której dotyczy problem, więc nawet samo odświeżenie strony, co do której nie masz pewności, prawdopodobnie zniszczy dowody.

Możesz nawet całkowicie rozsądnie zaakceptować, że to, co właśnie zobaczyłeś, nie było próbą ataku, a jedynie przejściowym błędem.

Ta niepewność i niepowtarzalność zwykle opóźnia pierwsze zgłoszenie problemu, co sprzyja oszustom.

Podobnie badacze, którzy śledzą doniesienia o „okresowej wrogości”, nie mogą być pewni, że będą w stanie zdobyć kopię złych rzeczy, nawet jeśli wiedzą, gdzie ich szukać.

Rzeczywiście, gdy przestępcy używają złośliwego oprogramowania po stronie serwera do dynamicznej zmiany zachowania usług internetowych (dokonywanie zmian W czasie wykonywania, używając żargonowego terminu), mogą wykorzystać szeroki zakres czynników zewnętrznych, aby jeszcze bardziej zdezorientować badaczy.

Na przykład mogą zmienić swoje przekierowania, a nawet całkowicie je ukryć, w zależności od pory dnia, kraju, z którego odwiedzasz, czy korzystasz z laptopa czy telefonu, jakiej przeglądarki używasz…

…i czy oni myśleć jesteś badaczem cyberbezpieczeństwa, czy nie.

---

---

Co robić?

Niestety GoDaddy zabrał prawie trzy miesiące powiedzieć światu o tym naruszeniu, a nawet teraz nie ma wiele do zrobienia.

Niezależnie od tego, czy jesteś użytkownikiem sieci, który odwiedził witrynę hostowaną przez GoDaddy od grudnia 2022 r. (co prawdopodobnie obejmuje większość z nas, niezależnie od tego, czy zdajemy sobie z tego sprawę, czy nie), czy operatorem witryny, który korzysta z GoDaddy jako firmy hostingowej…

…nie jesteśmy świadomi żadnych wskaźniki kompromisu (IoC) lub „oznaki ataku”, które mogłeś zauważyć w tamtym czasie lub które możemy doradzić, aby szukać teraz.

Co gorsza, mimo że GoDaddy opisuje naruszenie na swojej stronie internetowej pod nagłówkiem Oświadczenie w sprawie ostatnich problemów z przekierowaniami w witrynie, stwierdza w swoim Zgłoszenie 10-K że może to być znacznie dłuższy atak, niż wydaje się sugerować słowo „ostatni”:

Na podstawie naszego dochodzenia uważamy, że [ten i inne incydenty sięgające co najmniej marca 2020 r.] są częścią wieloletniej kampanii prowadzonej przez wyrafinowaną grupę cyberprzestępców, która między innymi instalowała złośliwe oprogramowanie w naszych systemach i uzyskiwała fragmenty kod związany z niektórymi usługami w ramach GoDaddy.

Jak wspomniano powyżej, GoDaddy zapewnił SEC, że „nadal badamy pierwotną przyczynę incydentu”.

Miejmy nadzieję, że firma nie zajmie kolejnych trzech miesięcy, aby powiedzieć nam, co odkryła w trakcie dochodzenia, które wydaje się sięgać trzech lat lub więcej…

---

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/