GoDaddy innrømmer: Crooks slo oss med skadelig programvare, forgiftede kundenettsteder

GoDaddy innrømmer: Crooks slo oss med skadelig programvare, forgiftede kundenettsteder

Tidsstempel: 19. februar 2023 8:36
Kilde node: 1967466
by Paul Ducklin

Sent i forrige uke [2023-02-16] sendte det populære webhotellfirmaet GoDaddy inn sin obligatoriske årlig 10-K-rapport med US Securities and Exchange Commission (SEC).

Under underoverskriften Operasjonelle risikoer, avslørte GoDaddy at:

I desember 2022 fikk en uautorisert tredjepart tilgang til og installerte skadelig programvare på våre cPanel-vertsservere. Skadevaren omdirigerte periodisk tilfeldige kundenettsteder til ondsinnede nettsteder. Vi fortsetter å undersøke årsaken til hendelsen.

URL-omdirigering, også kjent som Videresending av URL, er en uunngåelig funksjon i HTTP (den Hypertext Transfer Protocol), og brukes ofte av en rekke årsaker.

For eksempel kan du bestemme deg for å endre bedriftens hoveddomenenavn, men ønsker å beholde alle de gamle koblingene dine i live; bedriften din kan bli kjøpt opp og må flytte webinnholdet til den nye eierens servere; eller du vil kanskje bare ta din nåværende nettside offline for vedlikehold, og omdirigere besøkende til et midlertidig nettsted i mellomtiden.

En annen viktig bruk av URL-omdirigering er å fortelle besøkende som kommer til nettstedet ditt via vanlig gammel ukryptert HTTP at de bør besøke ved å bruke HTTPS (sikker HTTP) i stedet.

Så, når de har koblet til igjen via en kryptert tilkobling, kan du inkludere en spesiell overskrift for å fortelle nettleseren deres å starte med HTTPS i fremtiden, selv om de klikker på en gammel http://... lenke, eller skriv inn feil http://... for hånd.

Faktisk er omdirigeringer så vanlige at hvis du henger rundt webutviklere i det hele tatt, vil du høre dem referere til dem ved hjelp av sine numeriske HTTP-koder, omtrent på samme måte som resten av oss snakker om å "få en 404" når vi prøv å besøke en side som ikke lenger eksisterer, rett og slett fordi 404 er HTTP Not Found feil kode.

Det finnes faktisk flere forskjellige omdirigeringskoder, men den du sannsynligvis vil høre oftest referert til med nummer er a 301 omdirigering, også kjent som Moved Permanently. Det er da du vet at den gamle URL-en har blitt trukket tilbake og det er usannsynlig at den noen gang vil dukke opp igjen som en direkte tilgjengelig lenke. Andre inkluderer 303 og 307 omdirigeringer, ofte kjent som See Other og Temporary Redirect, brukes når du forventer at den gamle URL-en til slutt vil komme tilbake i aktiv tjeneste.

Her er to typiske eksempler på omdirigeringer i 301-stil, som brukes på Sophos.

Den første ber besøkende som bruker HTTP om å koble til igjen med en gang ved hjelp av HTTPS i stedet, og den andre eksisterer slik at vi kan godta nettadresser som starter med bare sophos.com ved å omdirigere dem til vårt mer konvensjonelle webservernavn www.sophos.com.

I hvert tilfelle er overskriftoppføringen merket Location: forteller nettklienten hvor den skal gå videre, noe nettlesere vanligvis gjør automatisk:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Flyttet Permanent Content-Length: 0 Sted: https://sophos.com/ <--reconnect here (samme sted, men bruker TLS) ). . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Flyttet permanent innhold-lengde: 0 Sted: https://www.sophos.com/ <--omdirigere til vår webserver for faktisk innhold Strengt-Transport-Sikkerhet: . . . <--neste gang, vennligst bruk HTTPS til å begynne med . . .

Kommandolinjealternativet -D - ovenfor forteller curl program for å skrive ut HTTP-hodene i svarene, som er det som betyr noe her. Begge disse svarene er enkle omdirigeringer, noe som betyr at de ikke har noe eget innhold å sende tilbake, som de angir med overskriftoppføringen Content-Length: 0. Merk at nettlesere generelt har innebygde grenser for hvor mange omdirigeringer de vil følge fra en start-URL, som en enkel forholdsregel mot å bli fanget opp i en uendelig omdirigeringssyklus.

Omdirigeringskontroll anses som skadelig

Som du kan forestille deg, betyr det å ha insider-tilgang til et selskaps webomdirigeringsinnstillinger effektivt at du kan hacke deres webservere uten å endre innholdet på disse serverne direkte.

I stedet kan du snike omdirigere disse serverforespørslene til innhold du har satt opp andre steder, og la selve serverdataene være uendret.

Alle som sjekker tilgangen og laster opp logger for bevis på uautoriserte pålogginger eller uventede endringer i HTML-, CS-, PHP- og JavaScript-filene som utgjør det offisielle innholdet på nettstedet deres...

...vil ikke se noe uheldig, fordi deres egne data faktisk ikke har blitt rørt.

Enda verre, hvis angripere bare utløser ondsinnede omdirigeringer nå og da, kan underskuddet være vanskelig å få øye på.

Det ser ut til å ha vært det som skjedde med GoDaddy, gitt at selskapet skrev i en uttalelse på sin egen side som:

Tidlig i desember 2022 begynte vi å motta et lite antall kundeklager om at nettstedene deres ble omdirigert med jevne mellomrom. Da vi mottok disse klagene, undersøkte vi og fant ut at de periodiske omdirigeringene skjedde på tilsynelatende tilfeldige nettsteder som var vert på våre cPanel-delte vertsservere og ikke lett kunne reproduseres av GoDaddy, selv på samme nettsted.

Spore opp forbigående overtakelser

Dette er den samme typen problem som cybssikkerhetsforskere møter når de håndterer forgiftede internettannonser som vises av tredjeparts annonseservere – det som er kjent i sjargongen som malvertisering.

Det er klart at ondsinnet innhold som bare vises av og til dukker ikke opp hver gang du besøker et berørt nettsted, så selv om du bare oppdaterer en side du ikke er sikker på vil sannsynligvis ødelegge bevisene.

Du kan til og med med rimelighet akseptere at det du nettopp så ikke var et angrepsforsøk, men bare en forbigående feil.

Denne usikkerheten og unreproduserbarheten forsinker typisk den første rapporten om problemet, som spiller inn i hendene på kjeltringene.

På samme måte kan ikke forskere som følger opp rapporter om «intermitterende ondskap» være sikre på at de vil være i stand til å ta en kopi av de dårlige tingene heller, selv om de vet hvor de skal lete.

Faktisk, når kriminelle bruker skadelig programvare på serversiden for å endre oppførselen til webtjenester dynamisk (gjøre endringer ved kjøretid, for å bruke sjargongbegrepet), kan de bruke en lang rekke eksterne faktorer for å forvirre forskere ytterligere.

For eksempel kan de endre viderekoblingene sine, eller til og med undertrykke dem helt, basert på tidspunktet på dagen, landet du besøker fra, om du er på en bærbar datamaskin eller en telefon, hvilken nettleser du bruker...

…og om de tror du er en cybersikkerhetsforsker eller ikke.

Hva gjør jeg?

Dessverre tok GoDaddy nesten tre måneder å fortelle verden om dette bruddet, og selv nå er det ikke mye å gå på.

Enten du er en nettbruker som har besøkt et GoDaddy-vertssted siden desember 2022 (som sannsynligvis inkluderer de fleste av oss, enten vi er klar over det eller ikke), eller en nettstedsoperatør som bruker GoDaddy som vertsselskap...

...vi er ikke klar over noen indikatorer for kompromiss (IoCs), eller "tegn på angrep", som du kanskje har lagt merke til på det tidspunktet, eller som vi kan råde deg til å søke etter nå.

Enda verre, selv om GoDaddy beskriver bruddet på nettsiden sin under overskriften Uttalelse om nylige omdirigeringsproblemer på nettstedet, heter det i sin 10-K arkivering at dette kan være et mye lengre angrep enn ordet "nylig" ser ut til å antyde:

Basert på vår undersøkelse tror vi [at denne og andre hendelser som dateres tilbake til minst mars 2000] er del av en flerårig kampanje av en sofistikert trusselaktørgruppe som blant annet installerte skadevare på systemene våre og skaffet seg deler av kode relatert til noen tjenester i GoDaddy.

Som nevnt ovenfor, har GoDaddy forsikret SEC om at "vi fortsetter å undersøke årsaken til hendelsen".

La oss håpe at det ikke tar ytterligere tre måneder før selskapet forteller oss hva det avdekker i løpet av denne etterforskningen, som ser ut til å strekke seg tre år eller mer tilbake ...

Tidstempel:

Mer fra Naken sikkerhet