Наприкінці минулого тижня [2023-02-16] популярна веб-хостингова компанія GoDaddy подала заявку на обов’язковий річний звіт 10-К з Комісією з цінних паперів і бірж США (SEC).
Під підзаголовком Операційні ризики, GoDaddy виявив, що:
У грудні 2022 року неавторизована третя сторона отримала доступ до наших серверів хостингу cPanel і встановила на них зловмисне програмне забезпечення. Зловмисне програмне забезпечення періодично перенаправляло випадкові веб-сайти клієнтів на шкідливі сайти. Ми продовжуємо з'ясовувати першопричину інциденту.
Переспрямування URL-адреси, також відоме як Пересилання URL-адрес, є винятковою функцією HTTP ( протокол передачі гіпертексту), і зазвичай використовується з багатьох причин.
Наприклад, ви можете вирішити змінити основне доменне ім’я вашої компанії, але хочете зберегти всі свої старі посилання; вашу компанію можуть придбати й їй доведеться перенести свій веб-вміст на сервери нового власника; або ви можете просто захотіти відключити свій поточний веб-сайт для обслуговування, а тим часом перенаправляти відвідувачів на тимчасовий сайт.
Інше важливе використання переспрямування URL-адреси полягає в тому, щоб повідомити відвідувачам, які переходять на ваш веб-сайт через звичайний старий незашифрований HTTP, що їм слід переходити за допомогою HTTPS (захищеного HTTP).
Тоді, коли вони повторно підключаться через зашифроване з’єднання, ви можете включити спеціальний заголовок, щоб повідомити їхній веб-переглядач починати з HTTPS у майбутньому, навіть якщо вони клацнуть стару http://...
посилання або помилково ввести http://...
вручну.
Насправді перенаправлення є настільки поширеним явищем, що якщо ви хоч зазирнете до веб-розробників, то почуєте, як вони звертаються до них за допомогою своїх числових HTTP-кодів, приблизно так само, як інші з нас говорять про «отримання 404», коли ми спробуйте відвідати сторінку, якої більше не існує, просто тому, що 404
є HTTP Not Found
код помилки.
Насправді існує кілька різних кодів перенаправлення, але той, який ви, напевно, почуєте, найчастіше називають номером a 301
перенаправлення, також відоме як Moved Permanently
. Саме тоді ви дізнаєтеся, що стара URL-адреса вийшла з експлуатації та навряд чи коли-небудь знову з’явиться як пряме посилання. Інші включають 303
та 307
переспрямування, широко відоме як See Other
та Temporary Redirect
, який використовується, коли ви очікуєте, що стара URL-адреса зрештою повернеться в активну службу.
Ось два типових приклади перенаправлення у стилі 301, які використовуються в Sophos.
Перший повідомляє відвідувачам, що використовують HTTP, негайно повторно підключитися за допомогою HTTPS, а другий існує, щоб ми могли приймати URL-адреси, які починаються лише з sophos.com
перенаправляючи їх на нашу більш традиційну назву веб-сервера www.sophos.com
.
У кожному випадку запис заголовка позначений Location:
повідомляє веб-клієнту, куди йти далі, що браузери зазвичай роблять автоматично:
$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Переміщено назавжди Content-Length: 0 Location: https://sophos.com/ <--повторне підключення тут (те саме місце, але за допомогою TLS) ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Переміщено назавжди Content-Length: 0 Location: https://www.sophos.com/ <--переспрямування на наш веб-сервер для фактичного вміст Strict-Transport-Security: . . . <--наступного разу використовуйте HTTPS для початку з . . .
Параметр командного рядка -D -
вище розповідає curl
програма для друку HTTP-заголовків у відповідях, які тут важливі. Обидві ці відповіді є простими перенаправленнями, що означає, що вони не мають власного вмісту для надсилання назад, що вони позначають записом заголовка Content-Length: 0
. Зауважте, що веб-переглядачі зазвичай мають вбудовані обмеження щодо кількості перенаправлень, які вони виконуватимуть із будь-якої початкової URL-адреси, як простий запобіжний захід, щоб не потрапити в безкінечну цикл перенаправлення.
Контроль перенаправлення вважається шкідливим
Як ви можете собі уявити, наявність внутрішнього доступу до налаштувань веб-переадресації компанії фактично означає, що ви можете зламати їхні веб-сервери, не змінюючи безпосередньо вміст цих серверів.
Натомість ви можете непомітно перенаправити ці запити до сервера на вміст, який ви налаштували в іншому місці, залишивши самі дані сервера незмінними.
Будь-хто, хто перевіряє свої журнали доступу та завантажень на наявність доказів неавторизованих входів або несподіваних змін у файлах HTML, CS, PHP і JavaScript, які складають офіційний вміст їх сайту…
…не побачать нічого поганого, тому що їхні власні дані фактично не торкнуться.
Що ще гірше, якщо зловмисники лише час від часу запускають зловмисне перенаправлення, обман буде важко помітити.
Здається, саме це сталося з GoDaddy, враховуючи, що компанія написала в a заяву на власному сайті, що:
На початку грудня 2022 року ми почали отримувати невелику кількість скарг клієнтів на те, що їхні веб-сайти періодично переспрямовуються. Отримавши ці скарги, ми дослідили та виявили, що періодичні перенаправлення відбувалися на, здавалося б, випадкових веб-сайтах, розміщених на наших серверах загального хостингу cPanel, і GoDaddy їх нелегко відтворити, навіть на тому самому веб-сайті.
Відстеження тимчасових поглинань
Це та сама проблема, з якою стикаються дослідники кібербезпеки, коли мають справу з отруєною інтернет-рекламою, що розміщується рекламними серверами третіх сторін – на жаргоні це називається маловія.
Очевидно, що зловмисний вміст, який з’являється лише періодично, не з’являється кожного разу, коли ви відвідуєте заражений сайт, тому навіть просте оновлення сторінки, у якій ви не впевнені, може знищити докази.
Ви можете навіть цілком розумно визнати, що те, що ви щойно побачили, не було спробою атаки, а лише тимчасовою помилкою.
Ця невизначеність і невідтворюваність зазвичай затримує перше повідомлення про проблему, що грає на руку шахраям.
Подібним чином дослідники, які слідкують за повідомленнями про «періодичну зловмисність», не можуть бути впевнені, що вони також зможуть отримати копію поганого матеріалу, навіть якщо вони знають, де шукати.
Дійсно, коли злочинці використовують зловмисне програмне забезпечення на стороні сервера, щоб динамічно змінювати поведінку веб-служб (внесення змін під час виконання, якщо використовувати жаргонний термін), вони можуть використовувати широкий спектр зовнішніх факторів, щоб ще більше заплутати дослідників.
Наприклад, вони можуть змінювати свої переспрямування або навіть повністю їх забороняти залежно від часу доби, країни, з якої ви приїхали, чи використовуєте ви ноутбук чи телефон, який браузер використовуєте…
…і чи вони думати Ви дослідник кібербезпеки чи ні.
Що ж робити?
На жаль, GoDaddy забрав майже три місяці щоб розповісти світові про це порушення, і навіть зараз нема чого продовжувати.
Незалежно від того, чи є ви веб-користувачем, який відвідав сайт GoDaddy з грудня 2022 року (до якого, ймовірно, відноситься більшість із нас, усвідомлюємо ми це чи ні), чи оператором веб-сайту, який використовує GoDaddy як хостингову компанію…
…ми нічого не знаємо індикатори компромісу (IoCs), або «ознаки атаки», які ви могли помітити в той час або які ми можемо порадити вам шукати зараз.
Що ще гірше, навіть якщо GoDaddy описує порушення на своєму веб-сайті під заголовком Заява щодо останніх проблем з перенаправленням веб-сайту, йдеться у його 10-К подача що це може бути набагато більш тривалий напад, ніж, здається, означає слово «недавній»:
Ґрунтуючись на нашому розслідуванні, ми вважаємо, [що цей та інші інциденти принаймні з березня 2020 року] є частиною багаторічної кампанії складної групи загроз, яка, серед іншого, встановила зловмисне програмне забезпечення в наших системах і отримала частини код, пов’язаний із деякими службами GoDaddy.
Як згадувалося вище, GoDaddy запевнив SEC, що «ми продовжуємо розслідувати першопричину інциденту».
Будемо сподіватися, що компанії не знадобиться ще три місяці, щоб повідомити нам, що вона виявила в ході цього розслідування, яке, здається, триває три роки або більше…
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/
- 1
- 2020
- 2022
- a
- Здатний
- МЕНЮ
- вище
- абсолют
- Прийняти
- доступ
- придбаний
- активний
- насправді
- Ad
- оголошення
- проти
- ВСІ
- серед
- та
- Інший
- навколо
- гарантований
- атака
- спробував
- автор
- автоматичний
- автоматично
- назад
- фонове зображення
- поганий
- заснований
- оскільки
- буття
- Вірити
- border
- дно
- порушення
- браузер
- браузери
- вбудований
- Кампанія
- випадок
- спійманий
- Викликати
- Центр
- зміна
- Зміни
- контроль
- клієнт
- код
- color
- COM
- Приходити
- комісія
- загальний
- зазвичай
- компанія
- Компанії
- скарги
- зв'язку
- вважається
- зміст
- зміст
- продовжувати
- контроль
- звичайний
- країна
- Курс
- обкладинка
- злочинці
- Поточний
- клієнт
- Кібербезпека
- дані
- датування
- день
- справу
- Грудень
- затримки
- знищити
- розробників
- різний
- безпосередньо
- дисплей
- Ні
- домен
- Доменне ім'я
- Не знаю
- вниз
- динамічно
- кожен
- Рано
- легко
- фактично
- або
- в іншому місці
- зашифрованих
- повністю
- запис
- помилка
- Навіть
- НІКОЛИ
- Кожен
- докази
- приклад
- Приклади
- обмін
- існує
- очікувати
- зовнішній
- фактори
- особливість
- Файли
- Перший
- стежити
- знайдений
- часто
- від
- далі
- майбутнє
- в цілому
- отримати
- отримання
- даний
- Go
- буде
- захоплення
- Group
- зламати
- рука
- Руки
- Вішати
- сталося
- Жорсткий
- має
- Заголовки
- headline
- чути
- висота
- тут
- хіт
- надія
- відбувся
- хостинг
- hover
- Як
- HTML
- HTTPS
- важливо
- in
- інцидент
- включати
- includes
- Інсайдер
- встановлений
- замість
- інтернет
- дослідити
- дослідження
- IT
- сам
- жаргон
- JavaScript
- тримати
- Знати
- відомий
- портативний комп'ютер
- останній
- догляд
- Ймовірно
- рамки
- Лінія
- LINK
- зв'язку
- розташування
- довше
- подивитися
- серія
- головний
- обслуговування
- зробити
- Робить
- шкідливих програм
- багато
- березня
- Марш 2020
- Маржа
- Питання
- макс-ширина
- сенс
- засоби
- тим часом
- згаданий
- просто
- може бути
- місяців
- більше
- найбільш
- Mozilla
- Багаторічна
- ім'я
- майже
- Необхідність
- Нові
- наступний
- нормальний
- номер
- отриманий
- офіційний
- offline
- Старий
- ONE
- оператор
- варіант
- Інше
- інші
- власний
- частина
- партія
- Пол
- постійно
- телефон
- PHP
- частин
- місце
- одноколірний
- plato
- Інформація про дані Платона
- PlatoData
- будь ласка
- популярний
- положення
- Пости
- друк
- ймовірно
- Проблема
- програма
- випадковий
- діапазон
- Причини
- отримання
- останній
- переадресовувати
- називають
- пов'язаний
- звітом
- Звіти
- запитів
- дослідник
- Дослідники
- REST
- Показали
- корінь
- то ж
- Пошук
- SEC
- другий
- безпечний
- Securities
- Комісія з цінних паперів і бірж
- Здається,
- Сервери
- обслуговування
- Послуги
- комплект
- налаштування
- кілька
- загальні
- зсув
- Повинен
- Показувати
- простий
- просто
- з
- сайт
- сайти
- невеликий
- So
- solid
- деякі
- складний
- спеціальний
- Spot
- старт
- почалася
- Починаючи
- Штати
- Як і раніше
- SVG
- Systems
- Приймати
- балаканина
- розповідає
- тимчасовий
- Команда
- Комісія з цінних паперів та бірж США
- світ
- їх
- речі
- третій
- третя сторона
- загроза
- три
- час
- до
- топ
- торкнувся
- переклад
- перехід
- прозорий
- викликати
- типовий
- типово
- Зрештою
- Невизначеність
- при
- Unexpected
- URL
- us
- Комісія з цінних паперів та бірж США
- використання
- користувач
- різноманітність
- через
- visited
- відвідувачів
- Web
- Веб-сервер
- веб-сервіси
- веб-сайт
- веб-сайти
- week
- Що
- Чи
- який
- ВООЗ
- широкий
- Широкий діапазон
- волі
- в
- без
- слово
- світ
- років
- Ти
- вашу
- зефірнет