Konec prejšnjega tedna [2023-02-16] je priljubljeno podjetje za spletno gostovanje GoDaddy vložilo obvezno letno poročilo 10-K z ameriško komisijo za vrednostne papirje in borzo (SEC).
Pod podnaslovom Operativna tveganja, je GoDaddy razkril, da:
Decembra 2022 je nepooblaščena tretja oseba pridobila dostop do naših strežnikov za gostovanje cPanel in jih namestila nanje. Zlonamerna programska oprema je občasno preusmerjala naključna spletna mesta strank na zlonamerna spletna mesta. Še naprej preiskujemo temeljni vzrok incidenta.
Preusmeritev URL-jev, znana tudi kot Posredovanje URL-jev, je neizjemna lastnost HTTP ( protokol za prenos hiperteksta) in se pogosto uporablja iz najrazličnejših razlogov.
Na primer, lahko se odločite spremeniti glavno ime domene vašega podjetja, vendar želite ohraniti vse svoje stare povezave; vaše podjetje bo morda prevzeto in bo moralo svojo spletno vsebino prenesti na strežnike novega lastnika; ali pa bi morda preprosto radi vzdrževali svoje trenutno spletno mesto brez povezave in medtem preusmerili obiskovalce na začasno spletno mesto.
Druga pomembna uporaba preusmeritve URL-jev je, da obiskovalcem, ki pridejo na vaše spletno mesto prek navadnega starega nešifriranega HTTP-ja, poveste, da naj namesto tega obiščejo s HTTPS (varen HTTP).
Potem, ko se znova povežejo prek šifrirane povezave, lahko vključite posebno glavo, da njihovemu brskalniku sporočite, naj se v prihodnje začne s HTTPS, tudi če kliknejo staro http://... povezavo ali pomotoma vtipkajte http://... ročno.
Pravzaprav so preusmeritve tako pogoste, da boste, če se sploh potikate pri spletnih razvijalcih, slišali, kako jih omenjajo s svojimi številskimi kodami HTTP, na približno enak način, kot mi ostali govorimo o »dobitvi 404«, ko poskusite obiskati stran, ki ne obstaja več, preprosto zato, ker 404 je HTTP Not Found napačna koda.
Pravzaprav obstaja več različnih kod za preusmeritev, toda tista, ki jo boste verjetno najpogosteje omenjali s številko, je a 301 preusmeritev, znana tudi kot Moved Permanently. Takrat veste, da je bil stari URL umaknjen iz uporabe in je malo verjetno, da se bo kdaj znova pojavil kot neposredno dostopna povezava. Drugi vključujejo 303 in 307 preusmeritve, splošno znane kot See Other in Temporary Redirect, ki se uporablja, ko pričakujete, da se bo stari URL na koncu vrnil v aktivno storitev.
Tukaj sta dva tipična primera preusmeritev v slogu 301, kot jih uporablja Sophos.
Prvi obiskovalcem, ki uporabljajo HTTP, pove, naj se takoj znova povežejo z uporabo HTTPS, drugi pa obstaja, da lahko sprejmemo URL-je, ki se začnejo s samo sophos.com tako, da jih preusmeri na naše bolj običajno ime spletnega strežnika www.sophos.com.
V vsakem primeru je vnos glave označen Location: pove spletnemu odjemalcu, kam naj gre naprej, kar brskalniki običajno storijo samodejno:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://sophos.com/ <--povežite se tukaj (na istem mestu, vendar z uporabo TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Moved Permanently Content-Length: 0 Location: https://www.sophos.com/ <--preusmeri na naš spletni strežnik za dejanske vsebina Strict-Transport-Security: . . . <--naslednjič uporabite HTTPS za začetek z . . .
Možnost ukazne vrstice -D - zgoraj pove curl program za izpis glav HTTP v odgovorih, ki so tukaj pomembni. Oba odgovora sta preprosti preusmeritvi, kar pomeni, da nimata lastne vsebine za pošiljanje nazaj, kar označujeta z vnosom v glavo Content-Length: 0. Upoštevajte, da imajo brskalniki na splošno vgrajene omejitve glede števila preusmeritev, ki jim bodo sledili s katerega koli začetnega URL-ja, kot preprost varnostni ukrep, da ne bi bili ujeti v neskončno cikel preusmeritve.
Nadzor preusmeritve se šteje za škodljivega
Kot si lahko predstavljate, notranji dostop do nastavitev spletne preusmeritve podjetja dejansko pomeni, da lahko vdrete v njihove spletne strežnike, ne da bi neposredno spreminjali vsebino teh strežnikov.
Namesto tega lahko te strežniške zahteve prikrito preusmerite na vsebino, ki ste jo nastavili drugje, pri čemer sami podatki strežnika ostanejo nespremenjeni.
Vsakdo, ki preverja svoje dnevnike dostopa in nalaganja za dokaze o nepooblaščenih prijavah ali nepričakovanih spremembah datotek HTML, CS, PHP in JavaScript, ki sestavljajo uradno vsebino njihovega spletnega mesta ...
... ne bodo videli nič slabega, ker se njihovi lastni podatki dejansko ne bodo dotaknili.
Še huje, če napadalci zlonamerne preusmeritve sprožijo le občasno, je pretvarjanje težko opaziti.
Zdi se, da se je to zgodilo podjetju GoDaddy, glede na to, da je podjetje v a Izjava na svojem spletnem mestu, ki:
V začetku decembra 2022 smo začeli prejemati majhno število pritožb strank glede občasnih preusmeritev njihovih spletnih mest. Po prejemu teh pritožb smo raziskali in ugotovili, da so se občasne preusmeritve dogajale na navidezno naključnih spletnih mestih, ki gostujejo na naših strežnikih za skupno gostovanje cPanel, in jih GoDaddy ni zlahka ponovil, niti na istem spletnem mestu.
Sledenje prehodnim prevzemom
To je enaka vrsta težave, s katero se srečujejo raziskovalci kibernetske varnosti, ko imajo opravka z zastrupljenimi internetnimi oglasi, ki jih strežejo oglasni strežniki tretjih oseb – kar je v žargonu znano kot zloraba.
Očitno je, da se zlonamerna vsebina, ki se pojavi le občasno, ne prikaže vsakič, ko obiščete prizadeto spletno mesto, tako da lahko že samo osvežitev strani, o kateri niste prepričani, uniči dokaze.
Lahko celo povsem razumno sprejmete, da to, kar ste pravkar videli, ni bil poskus napada, ampak le prehodna napaka.
Ta negotovost in neponovljivost običajno zamujata s prvim poročilom o težavi, kar gre na roko prevarantom.
Podobno raziskovalci, ki spremljajo poročila o »občasni zlobnosti«, ne morejo biti prepričani, da jim bo uspelo zgrabiti tudi kopijo slabe stvari, tudi če vedo, kje iskati.
Ko kriminalci uporabljajo zlonamerno programsko opremo na strani strežnika za dinamično spreminjanje vedenja spletnih storitev (spreminjanje med izvajanjem, če uporabim žargonski izraz), lahko uporabijo široko paleto zunanjih dejavnikov, da raziskovalce še bolj zmedejo.
Na primer, lahko spremenijo svoje preusmeritve ali jih celo popolnoma onemogočijo glede na uro dneva, državo, iz katere ste obiskali, ali uporabljate prenosni računalnik ali telefon, kateri brskalnik uporabljate ...
… in ali so mislim ali ste raziskovalec kibernetske varnosti ali ne.
Kaj storiti?
Na žalost je GoDaddy vzel skoraj tri mesece povedati svetu o tej kršitvi, in tudi zdaj se ni veliko dogajati.
Ne glede na to, ali ste spletni uporabnik, ki je od decembra 2022 obiskal spletno mesto, ki ga gosti GoDaddy (kar verjetno vključuje večino od nas, če se tega zavedamo ali ne), ali upravljavec spletnega mesta, ki GoDaddy uporablja kot gostujoče podjetje ...
… ne poznamo nobenega kazalnike kompromisa (IoCs) ali »znaki napada«, ki ste jih morda takrat opazili ali vam svetujemo, da jih poiščete zdaj.
Še huje, čeprav GoDaddy kršitev opisuje na svoji spletni strani pod naslovom Izjava o nedavnih težavah s preusmeritvijo spletnega mesta, navaja v svojem 10-K vložitev da je to morda veliko dolgotrajnejši napad, kot se zdi, da pomeni beseda "nedavni":
Na podlagi naše preiskave verjamemo, [da so ta in drugi incidenti, ki segajo vsaj v marec 2020], del večletne kampanje prefinjene skupine akterjev groženj, ki je med drugim namestila zlonamerno programsko opremo v naše sisteme in pridobila dele kodo, povezano z nekaterimi storitvami znotraj GoDaddyja.
Kot je navedeno zgoraj, je GoDaddy SEC zagotovil, da "še naprej preiskujemo glavni vzrok incidenta".
Upajmo, da ne bo trajalo še tri mesece, da nam bo podjetje povedalo, kaj je odkrilo med to preiskavo, za katero se zdi, da traja tri leta ali več ...
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Sposobna
- O meni
- nad
- absolutna
- Sprejmi
- dostop
- pridobljenih
- aktivna
- dejansko
- Ad
- oglasi
- proti
- vsi
- med
- in
- Še ena
- okoli
- zagotovljeno
- napad
- poskus
- Avtor
- avto
- samodejno
- nazaj
- ozadja, slike
- Slab
- temeljijo
- ker
- počutje
- Verjemite
- meja
- Bottom
- kršitev
- brskalnik
- brskalniki
- vgrajeno
- Akcija
- primeru
- ujete
- Vzrok
- center
- spremenite
- Spremembe
- preverjanje
- stranke
- Koda
- barva
- COM
- kako
- Komisija
- Skupno
- pogosto
- podjetje
- Podjetja
- Pritožbe
- povezava
- šteje
- vsebina
- Vsebina
- naprej
- nadzor
- konvencionalne
- država
- Tečaj
- pokrov
- Kriminalci
- Trenutna
- stranka
- Cybersecurity
- datum
- dating
- dan
- deliti
- december
- zamude
- uniči
- Razvijalci
- drugačen
- neposredno
- zaslon
- Ne
- domena
- Ime domene
- dont
- navzdol
- dinamično
- vsak
- Zgodnje
- enostavno
- učinkovito
- bodisi
- drugje
- šifriran
- popolnoma
- Vpis
- Napaka
- Tudi
- VEDNO
- Tudi vsak
- dokazi
- Primer
- Primeri
- Izmenjava
- obstaja
- pričakovati
- zunanja
- dejavniki
- Feature
- datoteke
- prva
- sledi
- je pokazala,
- pogosto
- iz
- nadalje
- Prihodnost
- splošno
- dobili
- pridobivanje
- dana
- Go
- dogaja
- zgrabi
- skupina
- kramp
- strani
- roke
- Hang
- se je zgodilo
- Trdi
- ob
- Glave
- naslov
- slišati
- višina
- tukaj
- hit
- upam,
- gostila
- gostovanje
- hover
- Kako
- HTML
- HTTPS
- Pomembno
- in
- nesreča
- vključujejo
- vključuje
- Insider
- nameščen
- Namesto
- Internet
- razišče
- preiskava
- IT
- sam
- žargon
- JavaScript
- Imejte
- Vedite
- znano
- laptop
- Zadnja
- odhodu
- Verjeten
- Meje
- vrstica
- LINK
- Povezave
- kraj aktivnosti
- več
- Poglej
- Sklop
- Glavne
- vzdrževanje
- Znamka
- Izdelava
- zlonamerna programska oprema
- več
- marec
- march 2020
- Marža
- Zadeve
- max širine
- kar pomeni,
- pomeni
- medtem
- omenjeno
- zgolj
- morda
- mesecev
- več
- Najbolj
- Mozilla
- večletno
- Ime
- skoraj
- Nimate
- Novo
- Naslednja
- normalno
- Številka
- pridobljeni
- Uradni
- offline
- Staro
- ONE
- operater
- Možnost
- Ostalo
- drugi
- lastne
- del
- zabava
- paul
- trajno
- telefon
- PHP
- kosov
- Kraj
- Plain
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prosim
- Popular
- Stališče
- Prispevkov
- Tiskanje
- verjetno
- problem
- Program
- naključno
- območje
- Razlogi
- prejema
- nedavno
- preusmeriti
- besedilu
- povezane
- poročilo
- Poročila
- zahteva
- raziskovalec
- raziskovalci
- REST
- Razkrito
- koren
- Enako
- Iskalnik
- SEC
- drugi
- zavarovanje
- Vrednostni papirji
- Securities and Exchange Commission
- Zdi se,
- Strežniki
- Storitev
- Storitve
- nastavite
- nastavitve
- več
- deli
- premik
- shouldnt
- Prikaži
- Enostavno
- preprosto
- saj
- spletna stran
- Spletna mesta
- majhna
- So
- trdna
- nekaj
- prefinjeno
- posebna
- Komercialni
- Začetek
- začel
- Začetek
- Države
- Še vedno
- SVG
- sistemi
- Bodite
- Pogovor
- pove
- začasna
- O
- Ameriška komisija za vrednostne papirje in borze
- svet
- njihove
- stvari
- tretja
- tretjih oseb
- Grožnja
- 3
- čas
- do
- vrh
- dotaknil
- prenos
- Prehod
- pregleden
- sprožijo
- tipičen
- tipično
- Konec koncev
- Negotovost
- pod
- Nepričakovana
- URL
- us
- Ameriška komisija za vrednostne papirje in borze
- uporaba
- uporabnik
- raznolikost
- preko
- obiskali
- Obiskovalci
- web
- spletni strežnik
- spletne storitve
- Spletna stran
- spletne strani
- teden
- Kaj
- ali
- ki
- WHO
- široka
- Širok spekter
- bo
- v
- brez
- beseda
- svet
- let
- Vi
- Vaša rutina za
- zefirnet
![S3 Ep101: Kršitve storitev Uber in LastPass – ali je 2FA vse, kar naj bi bilo? [Avdio + besedilo] PlatoBlockchain Data Intelligence. Navpično iskanje. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Kršitve storitev Uber in LastPass – ali je 2FA vse, kar naj bi bilo? [Avdio + besedilo]")
![S3 Ep122: Nehajte vsako kršitev imenovati "sofisticirano"! [Avdio + besedilo]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "S3 Ep122: Nehajte vsako kršitev imenovati \"sofisticirano\"! [Avdio + besedilo]")
