GoDaddy medger: Skurkar slog oss med skadlig programvara, förgiftade kundwebbplatser

GoDaddy medger: Skurkar slog oss med skadlig programvara, förgiftade kundwebbplatser

Tidsstämpel: 19 februari 2023 8:36
Källnod: 1967466
by Paul Ducklin

I slutet av förra veckan [2023-02-16] lämnade det populära webbhotellföretaget GoDaddy in sin obligatoriska årlig 10-K-rapport med US Securities and Exchange Commission (SEC).

Under underrubriken Operativa risker, avslöjade GoDaddy att:

I december 2022 fick en obehörig tredje part tillgång till och installerade skadlig programvara på våra cPanel-värdservrar. Skadlig programvara omdirigerade intermittent slumpmässiga kundwebbplatser till skadliga webbplatser. Vi fortsätter att undersöka orsaken till händelsen.

URL-omdirigering, även känd som URL-vidarebefordran, är en ovanlig funktion i HTTP (den hypertextöverföringsprotokoll), och används ofta av en mängd olika anledningar.

Till exempel kan du välja att ändra ditt företags huvuddomännamn, men vill behålla alla dina gamla länkar vid liv; ditt företag kan bli förvärvat och behöva flytta sitt webbinnehåll till den nya ägarens servrar; eller så kanske du helt enkelt vill ta din nuvarande webbplats offline för underhåll och omdirigera besökare till en tillfällig webbplats under tiden.

En annan viktig användning av URL-omdirigering är att berätta för besökare som kommer till din webbplats via vanlig gammal okrypterad HTTP att de ska besöka med HTTPS (säker HTTP) istället.

Sedan, när de har återanslutit via en krypterad anslutning, kan du inkludera en speciell rubrik för att berätta för deras webbläsare att börja med HTTPS i framtiden, även om de klickar på en gammal http://... länk eller skriv in av misstag http://... för hand.

Faktum är att omdirigeringar är så vanliga att om du överhuvudtaget umgås med webbutvecklare kommer du att höra dem hänvisa till dem med sina numeriska HTTP-koder, ungefär på samma sätt som vi andra pratar om att "skaffa en 404" när vi försök att besöka en sida som inte längre finns, helt enkelt för att 404 är HTTP Not Found felkod.

Det finns faktiskt flera olika omdirigeringskoder, men den som du förmodligen kommer att höra oftast hänvisas till med nummer är a 301 omdirigering, även känd som Moved Permanently. Det är då du vet att den gamla webbadressen har tagits bort och det är osannolikt att den någonsin kommer att dyka upp igen som en direkt tillgänglig länk. Andra inkluderar 303 och 307 omdirigeringar, allmänt känd som See Other och Temporary Redirect, används när du förväntar dig att den gamla webbadressen till slut kommer att aktiveras igen.

Här är två typiska exempel på omdirigeringar i 301-stil, som används på Sophos.

Den första talar om för besökare som använder HTTP att återansluta direkt med HTTPS istället, och den andra finns så att vi kan acceptera webbadresser som börjar med bara sophos.com genom att omdirigera dem till vårt mer konventionella webbservernamn www.sophos.com.

I varje fall är rubrikposten märkt Location: talar om för webbklienten vart den ska gå härnäst, vilket webbläsare vanligtvis gör automatiskt:

$ curl -D - --http1.1 http://sophos.com HTTP/1.1 301 Flyttade permanent Innehållslängd: 0 Plats: https://sophos.com/ <--återanslut här (samma plats, men med TLS) ) . . . $ curl -D - --http1.1 https://sophos.com HTTP/1.1 301 Flyttade permanent innehållslängd: 0 Plats: https://www.sophos.com/ <--redirect till vår webbserver för faktisk innehåll Strikt-Transport-Säkerhet: . . . <--nästa gång, använd HTTPS till att börja med . . .

Kommandoradsalternativet -D - ovan berättar curl program för att skriva ut HTTP-huvudena i svaren, vilket är det som är viktigt här. Båda dessa svar är enkla omdirigeringar, vilket innebär att de inte har något eget innehåll att skicka tillbaka, vilket de anger med rubrikposten Content-Length: 0. Observera att webbläsare i allmänhet har inbyggda gränser för hur många omdirigeringar de kommer att följa från en start-URL, som en enkel försiktighetsåtgärd mot att fastna i en aldrig sinande omdirigeringscykel.

Omdirigeringskontroll anses vara skadlig

Som du kan föreställa dig innebär det att ha insideråtkomst till ett företags webbomdirigeringsinställningar effektivt att du kan hacka deras webbservrar utan att direkt ändra innehållet på dessa servrar.

Istället kan du smygt omdirigera dessa serverförfrågningar till innehåll som du har ställt in någon annanstans, och lämna själva serverdatan oförändrad.

Alla som kontrollerar sin åtkomst och laddar upp loggar för bevis på obehöriga inloggningar eller oväntade ändringar av HTML-, CS-, PHP- och JavaScript-filerna som utgör det officiella innehållet på deras webbplats...

...kommer inte att se något otrevligt, eftersom deras egna data faktiskt inte kommer att ha berörts.

Ännu värre, om angripare bara utlöser skadliga omdirigeringar då och då, kan flykten vara svår att upptäcka.

Det verkar ha varit vad som hände med GoDaddy, med tanke på att företaget skrev i en meddelandet på sin egen sida som:

I början av december 2022 började vi få ett litet antal kundklagomål om att deras webbplatser intermittent omdirigerades. När vi fick dessa klagomål undersökte vi och fann att de intermittenta omdirigeringarna ägde rum på till synes slumpmässiga webbplatser på våra delade cPanel-värdservrar och inte var lätta att reproducera av GoDaddy, inte ens på samma webbplats.

Spåra upp tillfälliga uppköp

Det här är samma typ av problem som cybssäkerhetsforskare stöter på när de hanterar förgiftade internetannonser som visas av tredjepartsannonsservrar – vad som är känt i jargongen som skadliga annonser.

Uppenbarligen dyker inte skadligt innehåll som endast uppträder periodvis upp varje gång du besöker en berörd webbplats, så att ens bara uppdatera en sida som du inte är säker på kommer sannolikt att förstöra bevisen.

Du kan till och med helt rimligt acceptera att det du just såg inte var ett försök till attack, utan bara ett övergående fel.

Denna osäkerhet och oreproducerbarhet försenar vanligtvis den första rapporten om problemet, som spelar skurkarna i händerna.

Likaså kan forskare som följer upp rapporter om "intermittent illvilja" inte vara säkra på att de kommer att kunna ta en kopia av det dåliga heller, även om de vet var de ska leta.

Faktum är att när brottslingar använder skadlig programvara på serversidan för att förändra beteendet hos webbtjänster dynamiskt (att göra ändringar vid körning, för att använda jargongtermen), kan de använda en lång rad externa faktorer för att förvirra forskare ytterligare.

Till exempel kan de ändra sina omdirigeringar, eller till och med undertrycka dem helt, baserat på tiden på dygnet, landet du besöker från, om du är på en bärbar dator eller en telefon, vilken webbläsare du använder...

...och om de tror du är en cybersäkerhetsforskare eller inte.

Vad göra?

Tyvärr tog GoDaddy nästan tre månader att berätta för världen om detta brott, och även nu finns det inte mycket att gå på.

Oavsett om du är en webbanvändare som har besökt en GoDaddy-värd webbplats sedan december 2022 (som förmodligen inkluderar de flesta av oss, oavsett om vi inser det eller inte), eller en webbplatsoperatör som använder GoDaddy som ett webbhotell...

...vi känner inte till några indikatorer på kompromiss (IoCs), eller "tecken på attack", som du kanske har märkt då eller som vi kan råda dig att söka efter nu.

Ännu värre, även om GoDaddy beskriver intrånget på sin hemsida under rubriken Uttalande om senaste omdirigeringsproblem på webbplatsen, står det i sin 10-K arkivering att detta kan vara ett mycket längre pågående angrepp än vad ordet "senaste" verkar antyda:

Baserat på vår undersökning tror vi [att denna och andra incidenter som går tillbaka till åtminstone mars 2000] är en del av en flerårig kampanj av en sofistikerad hotaktörsgrupp som bland annat installerade skadlig programvara på våra system och skaffade bitar av kod relaterad till vissa tjänster inom GoDaddy.

Som nämnts ovan har GoDaddy försäkrat SEC att "vi fortsätter att undersöka orsaken till händelsen".

Låt oss hoppas att det inte tar ytterligare tre månader för företaget att berätta vad det avslöjar under loppet av den här utredningen, som verkar sträcka sig tre år tillbaka eller mer...

Tidsstämpel:

Mer från Naken säkerhet