GoDaddy признает: мошенники поразили нас вредоносными программами и отравили веб-сайты клиентов

В конце прошлой недели [2023-02-16] популярная веб-хостинговая компания GoDaddy подала обязательный годовой отчет 10-К с Комиссией по ценным бумагам и биржам США (SEC).

В подзаголовке Операционные риски, GoDaddy сообщил, что:

В декабре 2022 года неавторизованная третья сторона получила доступ к нашим серверам хостинга cPanel и установила вредоносное ПО. Вредоносная программа периодически перенаправляла случайные веб-сайты клиентов на вредоносные сайты. Мы продолжаем расследовать первопричину инцидента.

Перенаправление URL, также известное как Переадресация URL, является неотъемлемым свойством HTTP (т. Протокол передачи гипертекста), и обычно используется по целому ряду причин.

Например, вы можете решить изменить основное доменное имя вашей компании, но при этом сохранить все свои старые ссылки; ваша компания может быть поглощена и ей нужно перенести свой веб-контент на серверы нового владельца; или вы можете просто отключить свой текущий веб-сайт для обслуживания и тем временем перенаправить посетителей на временный сайт.

Еще одно важное использование перенаправления URL-адресов — сообщить посетителям, которые приходят на ваш веб-сайт через старый незашифрованный HTTP, что они должны вместо этого использовать HTTPS (защищенный HTTP).

Затем, как только они снова подключатся через зашифрованное соединение, вы можете включить специальный заголовок, чтобы сообщить их браузеру, что в будущем нужно начинать с HTTPS, даже если они нажмут на старую ссылку. http://... ссылку или ошибочно введите http://... рукой.

На самом деле, перенаправления настолько распространены, что если вы общаетесь с веб-разработчиками, вы услышите, как они ссылаются на них по своим числовым HTTP-кодам, почти так же, как остальные говорят о «получении 404», когда мы попытаться посетить страницу, которой больше не существует, просто потому, что 404 это HTTP Not Found код ошибки.

На самом деле существует несколько различных кодов перенаправления, но тот, который вы, вероятно, чаще всего услышите, называется номером. 301 перенаправление, также известное как Moved Permanently. Именно тогда вы знаете, что старый URL-адрес был удален и вряд ли когда-либо снова появится в качестве прямой ссылки. Другие включают 303 и 307 перенаправления, широко известные как See Other и Temporary Redirect, используемый, когда вы ожидаете, что старый URL-адрес в конечном итоге вернется в активную службу.

Вот два типичных примера перенаправлений в стиле 301, используемых в Sophos.

Первый сообщает посетителям, использующим HTTP, немедленно переподключаться с использованием HTTPS, а второй существует для того, чтобы мы могли принимать URL-адреса, начинающиеся только с sophos.com перенаправляя их на наше более традиционное имя веб-сервера www.sophos.com.

В каждом случае запись заголовка с пометкой Location: сообщает веб-клиенту, куда идти дальше, что браузеры обычно делают автоматически:

$ curl -D --http1.1 http://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://sophos.com/ <--повторно подключитесь здесь (то же место, но с использованием TLS ). . . $ curl -D --http1.1 https://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://www.sophos.com/ <--перенаправить на наш веб-сервер для фактического контент Строгая транспортная безопасность: . . . <--в следующий раз используйте HTTPS для начала. . .

Параметр командной строки -D - выше рассказывает curl программа для распечатки заголовков HTTP в ответах, что здесь важно. Оба этих ответа являются простыми переадресациями, что означает, что у них нет собственного контента для отправки обратно, что они обозначают записью заголовка. Content-Length: 0. Обратите внимание, что браузеры обычно имеют встроенные ограничения на количество переадресаций, которые они будут выполнять с любого начального URL-адреса, в качестве простой меры предосторожности, чтобы не попасть в бесконечный поток. цикл перенаправления.

Контроль перенаправления считается вредным

Как вы понимаете, наличие инсайдерского доступа к настройкам веб-перенаправления компании фактически означает, что вы можете взломать их веб-серверы без непосредственного изменения содержимого этих серверов.

Вместо этого вы можете незаметно перенаправить эти запросы к серверу на содержимое, которое вы настроили в другом месте, оставив сами данные сервера без изменений.

Любой, кто проверяет свои журналы доступа и загрузки на предмет несанкционированных входов в систему или неожиданных изменений в файлах HTML, CS, PHP и JavaScript, которые составляют официальный контент их сайта…

…не увидит ничего предосудительного, потому что их собственные данные фактически не будут затронуты.

Что еще хуже, если злоумышленники запускают вредоносные перенаправления только время от времени, уловки может быть трудно обнаружить.

Похоже, именно это и произошло с GoDaddy, учитывая, что компания написала в заявление на собственном сайте, который:

В начале декабря 2022 года мы начали получать небольшое количество жалоб клиентов на периодическую переадресацию их веб-сайтов. Получив эти жалобы, мы провели расследование и обнаружили, что прерывистые перенаправления происходили на, казалось бы, случайных веб-сайтах, размещенных на наших серверах общего хостинга cPanel, и GoDaddy не могла легко воспроизвести их даже на том же веб-сайте.

Отслеживание временных поглощений

Это та же самая проблема, с которой исследователи кибербезопасности сталкиваются, когда имеют дело с отравленной интернет-рекламой, обслуживаемой сторонними рекламными серверами — то, что на жаргоне известно как вредоносный.

---

---

Очевидно, что вредоносное содержимое, которое появляется только время от времени, не появляется каждый раз, когда вы посещаете уязвимый сайт, поэтому даже простое обновление страницы, в которой вы не уверены, может уничтожить улики.

Вы могли бы даже вполне разумно признать, что то, что вы только что видели, было не попыткой атаки, а просто временной ошибкой.

Эта неопределенность и невоспроизводимость обычно задерживают первое сообщение о проблеме, что играет на руку мошенникам.

Точно так же исследователи, которые следят за сообщениями о «периодическом злонамеренном нападении», не могут быть уверены, что им удастся получить копию плохого материала, даже если они знают, где искать.

Действительно, когда преступники используют вредоносное ПО на стороне сервера для динамического изменения поведения веб-сервисов (внесение изменений во время выполнения, используя жаргонный термин), они могут использовать широкий спектр внешних факторов, чтобы еще больше запутать исследователей.

Например, они могут изменить свои перенаправления или даже полностью отключить их в зависимости от времени суток, страны, из которой вы посещаете, используете ли вы ноутбук или телефон, какой браузер вы используете…

…и будут ли они think вы исследователь кибербезопасности или нет.

---

---

Что делать?

К сожалению, GoDaddy занял почти три месяца рассказать миру об этой бреши, и даже сейчас не так много, чтобы продолжать.

Являетесь ли вы веб-пользователем, посетившим сайт, размещенный на GoDaddy, с декабря 2022 года (к которому, вероятно, относится большинство из нас, осознаем мы это или нет), или оператором веб-сайта, который использует GoDaddy в качестве хостинговой компании…

…мы ничего не знаем индикаторы компрометации (IoCs), или «признаки атаки», которые вы могли заметить в то время или которые мы можем посоветовать вам искать сейчас.

Что еще хуже, несмотря на то, что GoDaddy описывает нарушение на своем веб-сайте под заголовком Заявление о недавних проблемах с переадресацией веб-сайта, говорится в его 10-К подача что это может быть гораздо более продолжительным натиском, чем кажется подразумеваемым под словом «недавний»:

Основываясь на нашем расследовании, мы полагаем, [что этот и другие инциденты, датированные по крайней мере мартом 2020 г.] являются частью многолетней кампании изощренной группы злоумышленников, которая, среди прочего, установила вредоносное ПО на наши системы и получила части код, связанный с некоторыми услугами GoDaddy.

Как упоминалось выше, GoDaddy заверил SEC, что «продолжает расследование основной причины инцидента».

Будем надеяться, что компании не потребуется еще три месяца, чтобы рассказать нам, что она обнаружила в ходе этого расследования, которое, похоже, длилось три года или больше…

---

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/