GoDaddy recunoaște: Escrocii ne-au lovit cu programe malware, site-uri web otrăvite ale clienților

La sfârșitul săptămânii trecute [2023-02-16], populara companie de găzduire web GoDaddy și-a depus obligația raport anual 10-K cu Securities and Exchange Commission (SEC) din SUA.

Sub subcapitolul Riscuri operaționale, GoDaddy a dezvăluit că:

În decembrie 2022, o terță parte neautorizată a obținut acces și a instalat programe malware pe serverele noastre de găzduire cPanel. Programul malware a redirecționat intermitent site-urile web ale clienților către site-uri rău intenționate. Continuăm să investigăm cauza principală a incidentului.

Redirecționare URL, cunoscută și ca redirecționare URL, este o caracteristică fără excepție a HTTP (the protocol de transfer hipertext), și este utilizat în mod obișnuit dintr-o mare varietate de motive.

De exemplu, ați putea decide să schimbați numele de domeniu principal al companiei dvs., dar doriți să păstrați toate link-urile vechi în viață; compania dvs. ar putea fi achiziționată și trebuie să-și mute conținutul web pe serverele noului proprietar; sau poate doriți pur și simplu să vă deconectați site-ul actual pentru întreținere și, între timp, să redirecționați vizitatorii către un site temporar.

O altă utilizare importantă a redirecționării URL este să le spuneți vizitatorilor care ajung pe site-ul dvs. prin HTTP simplu, vechi, necriptat, că ar trebui să acceseze folosind HTTPS (HTTP securizat).

Apoi, după ce s-au reconectat printr-o conexiune criptată, puteți include un antet special pentru a spune browserului lor să înceapă cu HTTPS în viitor, chiar dacă face clic pe un vechi http://... link sau introduceți greșit http://... de mana.

De fapt, redirecționările sunt atât de obișnuite încât, dacă stai în jurul dezvoltatorilor web, îi vei auzi referindu-se la ei prin codurile lor numerice HTTP, cam în același mod în care noi ceilalți vorbim despre „obținerea unui 404” atunci când încercați să vizitați o pagină care nu mai există, pur și simplu pentru că 404 este HTTP Not Found cod de eroare.

Există, de fapt, mai multe coduri de redirecționare diferite, dar cel la care veți auzi probabil cel mai des referit prin număr este un 301 redirecționare, cunoscută și ca Moved Permanently. Atunci știți că vechea adresă URL a fost retrasă și este puțin probabil să reapară vreodată ca link accesibil direct. Alții includ 303 și 307 redirecționări, cunoscute în mod obișnuit ca See Other și Temporary Redirect, folosit atunci când vă așteptați ca vechea adresă URL să revină în cele din urmă la serviciul activ.

Iată două exemple tipice de redirecționări în stil 301, așa cum sunt utilizate la Sophos.

Primul le spune vizitatorilor care folosesc HTTP să se reconecteze imediat folosind HTTPS, iar al doilea există astfel încât să putem accepta adrese URL care încep doar cu sophos.com prin redirecționarea lor către numele serverului nostru web mai convențional www.sophos.com.

În fiecare caz, intrarea antet etichetată Location: îi spune clientului web unde să meargă în continuare, ce browsere fac în general automat:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Mutat permanent Lungimea conținutului: 0 Locație: https://sophos.com/ <--reconectați-vă aici (același loc, dar folosind TLS ). . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Mutat permanent Lungimea conținutului: 0 Locație: https://www.sophos.com/ <--redirecționați către serverul nostru web pentru informații reale continut Strict-Transport-Securitate: . . . <--data viitoare, utilizați HTTPS pentru a începe cu . . .

Opțiunea de linie de comandă -D - mai sus spune curl program pentru a tipări anteturile HTTP din răspunsuri, care sunt ceea ce contează aici. Ambele răspunsuri sunt simple redirecționări, ceea ce înseamnă că nu au niciun conținut propriu de trimis înapoi, pe care îl denotă cu intrarea din antet. Content-Length: 0. Rețineți că browserele au, în general, limite încorporate cu privire la numărul de redirecționări pe care le vor urma de la orice adresă URL de pornire, ca o simplă precauție pentru a nu fi prins într-o situație fără sfârșit. ciclu de redirecționare.

Controlul redirecționării considerat dăunător

După cum vă puteți imagina, a avea acces din interior la setările de redirecționare web ale unei companii înseamnă în mod eficient că le puteți pirata serverele web fără a modifica conținutul acelor servere direct.

În schimb, puteți redirecționa pe furiș acele solicitări de server către conținutul pe care l-ați configurat în altă parte, lăsând datele serverului în sine neschimbate.

Oricine își verifică accesul și încarcă jurnalele pentru dovezi de autentificare neautorizată sau modificări neașteptate ale fișierelor HTML, CS , PHP și JavaScript care formează conținutul oficial al site-ului său...

… nu vor vedea nimic neplăcut, pentru că propriile lor date nu vor fi de fapt atinse.

Și mai rău, dacă atacatorii declanșează redirecționări rău intenționate doar din când în când, subterfugiul poate fi greu de detectat.

Asta pare să fi fost ceea ce s-a întâmplat cu GoDaddy, având în vedere că compania a scris într-un declaraţie pe propriul site care:

La începutul lui decembrie 2022, am început să primim un număr mic de plângeri ale clienților cu privire la redirecționarea intermitentă a site-urilor lor web. La primirea acestor reclamații, am investigat și am constatat că redirecționările intermitente aveau loc pe site-uri web aparent aleatorii găzduite pe serverele noastre de găzduire partajată cPanel și nu erau ușor de reprodus de către GoDaddy, chiar și pe același site web.

Urmărirea preluărilor tranzitorii

Acesta este același tip de problemă pe care o întâmpină cercetătorii în domeniul securității cibernetice atunci când au de-a face cu reclame otrăvite pe internet difuzate de servere de anunțuri terțe - ceea ce este cunoscut în jargon ca malvertising.

---

---

Evident, conținutul rău intenționat care apare doar intermitent nu apare de fiecare dată când vizitați un site afectat, astfel încât chiar și doar reîmprospătarea unei pagini despre care nu sunteți sigur este probabil să distrugă dovezile.

Ați putea chiar să acceptați în mod perfect rezonabil că ceea ce tocmai ați văzut nu a fost o încercare de atac, ci doar o eroare tranzitorie.

Această incertitudine și nereproductibilitate întârzie de obicei primul raport al problemei, care joacă în mâinile escrocilor.

De asemenea, cercetătorii care urmăresc rapoartele de „răutate intermitentă” nu pot fi siguri că vor putea lua o copie a lucrurilor rele, chiar dacă știu unde să caute.

Într-adevăr, atunci când infractorii folosesc programe malware pe server pentru a modifica comportamentul serviciilor web în mod dinamic (făcând modificări în timpul rulării, pentru a folosi termenul de jargon), ei pot folosi o gamă largă de factori externi pentru a deruta și mai mult cercetătorii.

De exemplu, își pot schimba redirecționările sau chiar le pot suprima complet, în funcție de ora din zi, țara din care vizitați, dacă sunteți pe un laptop sau pe un telefon, ce browser utilizați...

… și dacă ei crede ești sau nu cercetător în domeniul securității cibernetice.

---

---

Ce să fac?

Din păcate, GoDaddy a luat aproape trei luni să spun lumii despre această încălcare și nici acum nu mai sunt multe de făcut.

Fie că sunteți un utilizator web care a vizitat un site găzduit de GoDaddy din decembrie 2022 (care probabil ne include pe cei mai mulți dintre noi, indiferent dacă ne dăm seama sau nu), sau un operator de site web care folosește GoDaddy ca companie de găzduire...

...nu suntem conștienți de niciunul indicatori de compromis (IoC) sau „semne de atac”, pe care este posibil să le fi observat la momentul respectiv sau pe care vă putem sfătui să le căutați acum.

Și mai rău, chiar dacă GoDaddy descrie încălcarea pe site-ul său sub titlu Declarație privind problemele recente de redirecționare a site-ului web, se precizează în sa Depunere 10-K că acesta poate fi un atac de mult mai lungă durată decât pare să implice cuvântul „recent”:

Pe baza investigației noastre, credem [că acesta și alte incidente care datează cel puțin din martie 2020] fac parte dintr-o campanie de mai mulți ani a unui grup sofisticat de amenințări care, printre altele, a instalat malware pe sistemele noastre și a obținut bucăți de cod legat de unele servicii din GoDaddy.

După cum sa menționat mai sus, GoDaddy a asigurat SEC că „continuăm să investigăm cauza principală a incidentului”.

Să sperăm că nu va mai dura trei luni până când compania ne spune ce descoperă în cursul acestei investigații, care pare să se întindă cu trei ani sau mai mult...

---

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/