GoDaddy thừa nhận: Kẻ lừa đảo tấn công chúng tôi bằng phần mềm độc hại, trang web của khách hàng bị đầu độc

Cuối tuần trước [2023-02-16], công ty lưu trữ web nổi tiếng GoDaddy đã nộp đơn bắt buộc báo cáo 10-K hàng năm với Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC).

Dưới tiêu đề phụ Rủi ro hoạt động, GoDaddy tiết lộ rằng:

Vào tháng 2022 năm XNUMX, một bên thứ ba trái phép đã có quyền truy cập và cài đặt phần mềm độc hại trên các máy chủ lưu trữ cPanel của chúng tôi. Phần mềm độc hại liên tục chuyển hướng các trang web khách hàng ngẫu nhiên đến các trang web độc hại. Chúng tôi tiếp tục điều tra nguyên nhân gốc rễ của vụ việc.

Chuyển hướng URL, còn được gọi là Chuyển tiếp URL, là một tính năng không thể bỏ qua của HTTP (các giao thức truyền siêu văn bản), và thường được sử dụng vì nhiều lý do.

Ví dụ: bạn có thể quyết định thay đổi tên miền chính của công ty mình, nhưng muốn giữ tất cả các liên kết cũ của mình tồn tại; công ty của bạn có thể bị mua lại và cần chuyển nội dung web của mình sang máy chủ của chủ sở hữu mới; hoặc bạn có thể chỉ muốn đưa trang web hiện tại của mình ngoại tuyến để bảo trì và chuyển hướng khách truy cập đến một trang web tạm thời trong thời gian chờ đợi.

Một cách sử dụng quan trọng khác của chuyển hướng URL là thông báo cho những khách truy cập đến trang web của bạn thông qua HTTP cũ không được mã hóa đơn giản rằng họ nên truy cập bằng HTTPS (HTTP bảo mật) thay thế.

Sau đó, khi họ đã kết nối lại qua một kết nối được mã hóa, bạn có thể bao gồm một tiêu đề đặc biệt để thông báo cho trình duyệt của họ bắt đầu với HTTPS trong tương lai, ngay cả khi họ nhấp vào một kết nối cũ. http://... link hay gõ nhầm http://... bằng tay.

Trên thực tế, các chuyển hướng phổ biến đến mức nếu bạn tiếp xúc với các nhà phát triển web, bạn sẽ nghe thấy họ đề cập đến chúng bằng các mã HTTP dạng số, giống như cách mà phần còn lại của chúng ta nói về việc “nhận được 404” khi chúng ta cố gắng truy cập một trang không còn tồn tại, đơn giản vì 404 là của HTTP Not Found mã lỗi.

Trên thực tế, có một số mã chuyển hướng khác nhau, nhưng mã mà bạn có thể nghe thấy nhiều nhất được gọi bằng số là 301 chuyển hướng, còn được gọi là Moved Permanently. Đó là khi bạn biết rằng URL cũ đã bị loại bỏ và không bao giờ xuất hiện lại dưới dạng liên kết có thể truy cập trực tiếp. những người khác bao gồm 303 và 307 chuyển hướng, thường được gọi là See Other và Temporary Redirect, được sử dụng khi bạn mong đợi rằng URL cũ cuối cùng sẽ hoạt động trở lại.

Dưới đây là hai ví dụ điển hình về chuyển hướng kiểu 301, được sử dụng tại Sophos.

Cái đầu tiên cho khách truy cập sử dụng HTTP kết nối lại ngay lập tức bằng HTTPS và cái thứ hai tồn tại để chúng tôi có thể chấp nhận các URL bắt đầu bằng chỉ sophos.com bằng cách chuyển hướng chúng đến tên máy chủ web thông thường hơn của chúng tôi www.sophos.com.

Trong mỗi trường hợp, mục nhập tiêu đề được dán nhãn Location: cho máy khách web biết nơi tiếp theo, trình duyệt nào thường tự động thực hiện:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Đã di chuyển vĩnh viễn Độ dài nội dung: 0 Vị trí: https://sophos.com/ <--kết nối lại tại đây (cùng một địa điểm, nhưng sử dụng TLS ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Đã di chuyển vĩnh viễn Độ dài nội dung: 0 Vị trí: https://www.sophos.com/ <--chuyển hướng đến máy chủ web của chúng tôi để thực tế nội dung Nghiêm ngặt-Giao thông-An ninh: . . . <--lần sau, vui lòng sử dụng HTTPS để bắt đầu với . . .

Tùy chọn dòng lệnh -D - ở trên nói với curl chương trình in ra các tiêu đề HTTP trong các câu trả lời, đó là những gì quan trọng ở đây. Cả hai câu trả lời này đều là các chuyển hướng đơn giản, nghĩa là chúng không có bất kỳ nội dung nào của riêng chúng để gửi lại, mà chúng biểu thị bằng mục nhập tiêu đề Content-Length: 0. Lưu ý rằng các trình duyệt thường có giới hạn tích hợp về số lượng chuyển hướng mà chúng sẽ theo dõi từ bất kỳ URL bắt đầu nào, như một biện pháp phòng ngừa đơn giản để tránh bị cuốn vào một chuỗi không bao giờ kết thúc. chu kỳ chuyển hướng.

Kiểm soát chuyển hướng được coi là có hại

Như bạn có thể tưởng tượng, việc có quyền truy cập nội bộ vào cài đặt chuyển hướng web của công ty có nghĩa là bạn có thể hack máy chủ web của họ mà không cần trực tiếp sửa đổi nội dung của các máy chủ đó.

Thay vào đó, bạn có thể lén lút chuyển hướng các yêu cầu máy chủ đó đến nội dung mà bạn đã thiết lập ở nơi khác, khiến dữ liệu máy chủ không thay đổi.

Bất kỳ ai đang kiểm tra nhật ký truy cập và tải lên của họ để tìm bằng chứng về các lần đăng nhập trái phép hoặc các thay đổi không mong muốn đối với các tệp HTML, CS , PHP và JavaScript tạo nên nội dung chính thức của trang web của họ…

…sẽ không thấy gì ngoài ý muốn, bởi vì dữ liệu của chính họ sẽ không thực sự bị chạm vào.

Tệ hơn nữa, nếu những kẻ tấn công chỉ thỉnh thoảng kích hoạt các chuyển hướng độc hại, thủ đoạn phụ có thể khó bị phát hiện.

Đó dường như là những gì đã xảy ra với GoDaddy, vì công ty đã viết trong một tuyên bố trên trang web riêng của mình rằng:

Vào đầu tháng 2022 năm XNUMX, chúng tôi bắt đầu nhận được một số lượng nhỏ khiếu nại của khách hàng về việc trang web của họ bị chuyển hướng không liên tục. Khi nhận được những khiếu nại này, chúng tôi đã điều tra và phát hiện ra rằng các chuyển hướng không liên tục đã xảy ra trên các trang web dường như ngẫu nhiên được lưu trữ trên các máy chủ lưu trữ dùng chung cPanel của chúng tôi và GoDaddy không dễ tái tạo lại, ngay cả trên cùng một trang web.

Theo dõi các vụ thâu tóm tạm thời

Đây là cùng một loại vấn đề mà các nhà nghiên cứu an ninh mạng gặp phải khi xử lý các quảng cáo internet bị nhiễm độc do các máy chủ quảng cáo của bên thứ ba cung cấp – biệt ngữ này được gọi là quảng cáo độc hại.

---

---

Rõ ràng, nội dung độc hại chỉ xuất hiện không liên tục không xuất hiện mỗi khi bạn truy cập trang web bị ảnh hưởng, do đó, thậm chí chỉ cần làm mới một trang mà bạn không chắc chắn cũng có khả năng phá hủy bằng chứng.

Bạn thậm chí có thể chấp nhận một cách hoàn toàn hợp lý rằng những gì bạn vừa thấy không phải là một cuộc tấn công có chủ đích, mà chỉ là một lỗi nhất thời.

Sự không chắc chắn và không thể tái tạo này thường làm chậm trễ báo cáo đầu tiên về sự cố, khiến cho kẻ gian có lợi.

Tương tự như vậy, các nhà nghiên cứu theo dõi các báo cáo về “ác ý không liên tục” không thể chắc chắn rằng họ sẽ có thể lấy được bản sao của những thứ xấu, ngay cả khi họ biết tìm ở đâu.

Thật vậy, khi bọn tội phạm sử dụng phần mềm độc hại phía máy chủ để thay đổi động hành vi của các dịch vụ web (làm thay đổi trong thời gian chạy, để sử dụng thuật ngữ biệt ngữ), họ có thể sử dụng một loạt các yếu tố bên ngoài để gây nhầm lẫn cho các nhà nghiên cứu hơn nữa.

Ví dụ: họ có thể thay đổi các chuyển hướng của mình hoặc thậm chí chặn chúng hoàn toàn, dựa trên thời gian trong ngày, quốc gia bạn đang truy cập, cho dù bạn đang sử dụng máy tính xách tay hay điện thoại, trình duyệt bạn đang sử dụng…

…và liệu họ nghĩ bạn có phải là nhà nghiên cứu an ninh mạng hay không.

---

---

Phải làm gì?

Thật không may, GoDaddy đã mất gần ba tháng để nói với thế giới về vi phạm này, và thậm chí bây giờ không có nhiều điều để tiếp tục.

Cho dù bạn là người dùng web đã truy cập trang web do GoDaddy lưu trữ kể từ tháng 2022 năm XNUMX (có thể bao gồm hầu hết chúng ta, cho dù chúng ta có nhận ra điều đó hay không) hay nhà điều hành trang web sử dụng GoDaddy làm công ty lưu trữ…

…chúng tôi không biết về bất kỳ các chỉ số của sự thỏa hiệp (IoC) hoặc "dấu hiệu tấn công", mà bạn có thể đã nhận thấy vào thời điểm đó hoặc chúng tôi có thể khuyên bạn nên tìm kiếm ngay bây giờ.

Tệ hơn nữa, mặc dù GoDaddy mô tả vi phạm trên trang web của mình dưới tiêu đề Tuyên bố về các vấn đề chuyển hướng trang web gần đây, nó tuyên bố trong nó Nộp 10-K rằng đây có thể là một cuộc tấn công dữ dội kéo dài hơn nhiều so với từ "gần đây" dường như ngụ ý:

Dựa trên cuộc điều tra của mình, chúng tôi tin rằng [rằng sự cố này và các sự cố khác xảy ra ít nhất từ ​​tháng 2020 năm XNUMX] là một phần trong chiến dịch kéo dài nhiều năm của một nhóm tác nhân đe dọa tinh vi. Nhóm này, cùng với những hành vi khác, đã cài đặt phần mềm độc hại vào hệ thống của chúng tôi và lấy được các phần của mã liên quan đến một số dịch vụ trong GoDaddy.

Như đã đề cập ở trên, GoDaddy đã đảm bảo với SEC rằng “chúng tôi tiếp tục điều tra nguyên nhân cốt lõi của vụ việc”.

Hãy hy vọng rằng sẽ không mất thêm ba tháng nữa để công ty cho chúng ta biết những gì họ phát hiện ra trong quá trình điều tra này, dường như kéo dài từ ba năm trở lên…

---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/02/20/godaddy-admits-crooks-hit-us-with-malware-poisoned-customer-websites/