GoDaddy golpeó con redirección generalizada Hack

En los últimos días, los propietarios de sitios web, específicamente aquellos que alojan en GoDaddy, han estado experimentando extraños redireccionamientos a varios sitios web. Estos redireccionamientos no ocurren todo el tiempo, pero parecen ocurrir cuando un usuario visita una página por primera vez o la actualiza suficientes veces para activarla. Me topé con este problema por primera vez cuando visité el sitio web de un restaurante mío favorito. En lugar de ver una página con imágenes de comida, menús, etc., se me presentó una página AV falsa .

Cómo funciona

Al igual que con otros problemas de seguridad que descubro, termino saltando por la madriguera del conejo para investigar qué es esto, cómo funciona y si hay alguna forma de evitarlo. Desafortunadamente, para este incidente, la mejor perspectiva que puedo dar es como un extraño. Un sitio web de GoDaddy comprometido facilitaría esta investigación, pero no es imposible sin él.

A un alto nivel, la secuencia de eventos es la siguiente basada en pruebas y otras observaciones:

1. El usuario visita un sitio web comprometido alojado en GoDaddy.

Al igual que yo, los usuarios pueden visitar el sitio web de una empresa local con la que estén familiarizados.

2. Se produce la redirección inicial

A través de una lógica de caja negra (generalmente para visitantes primerizos o por casualidad), los servidores de GoDaddy envían un 302 al usuario para redirigirlo al sitio web del atacante. Todos los sitios web comprometidos que he encontrado redireccionan a 46.4.68.136 .

Actualmente, se especula que los balanceadores de carga de GoDaddy están comprometidos. Las solicitudes específicas lo redirigirán a la página del atacante, pero esto ocurre con menos frecuencia de lo esperado. Las versiones almacenadas en caché de estos sitios comprometidos muestran una redirección en el encabezado de la respuesta HTTP. Este encabezado hará que el navegador redirija al sitio web especificado en la variable de path .

A continuación se muestran algunos ejemplos.

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8

 HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

Estos sitios web reciben una respuesta de un servidor Apache y redirigirán al usuario a la misma dirección IP maliciosa; si usan WordPress o no, no influye.

Cada usuario que termina siendo redirigido al host del atacante se etiqueta con un conjunto de cookies del encabezado de respuesta. Cada solicitud posterior en ese host también incluirá esa cookie para identificar a la víctima.

 Set-Cookie: a8163=<JWT looking token>

3. Se produce la segunda redirección

La redirección lleva al usuario a una página específica en el sitio web del atacante. Luego, esta página ejecuta JavaScript para redirigirlos a contenido de phishing o pornográfico. La estructura básica de la página que vemos es la siguiente:

 <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>

En particular, puedes encontrar fragmentos muy similares en Github. La redirección anterior no es una nueva táctica utilizada para redirigir a los usuarios. Después de esta redirección, el usuario se encuentra en el destino final del atacante.

Sobre el sitio del atacante

He jugado un poco con el sitio atacante. Dato curioso: la página de redireccionamiento cambia según su IP/ubicación. La página me redirigiría al escáner AV falso si estuviera en América del Norte. Si estuviera en Europa, Asia, América del Sur, etc., cada uno me redirigiría a diferentes páginas que mostrarían contenido menos que deseable. ¿Se hace esto intencionalmente para especializar las cargas de ataque en función de algún nivel de efectividad según la ubicación, o simplemente se hace al azar?

porque esto es serio

En general, el ataque es generalizado, donde podemos encontrar muchos sitios web comprometidos con una simple búsqueda en Google de la dirección IP del sitio web atacante. Muchos propietarios de sitios web se ven afectados por esto, como lo demuestra esta pregunta de soporte de Cloudflare . En particular, incluso este problema llegó a uno de los enlaces en los documentos de SvelteKit.

No es evidente que el ataque afecte a los complementos de WordPress, como demostró @ColinQuarello . Las cuentas recién aprovisionadas también se ven afectadas incluso si no se carga contenido en el sitio web.

A partir de esto, podemos suponer que esto podría ser un problema de todo el sistema para el proveedor de alojamiento.

@GoDaddyHelp Los redireccionamientos 302 de @GoDaddy están ocurriendo desde sus balanceadores de carga a sitios de spam/pornografía en la infraestructura de alojamiento compartido. Aprovisioné una nueva cuenta e inmediatamente obtuve una redirección 302 cuando no había contenido en el sitio . Los encabezados también parecían falsificados. Esto es serio.

— Colin Quarello (@ColinQuarello) 19 de diciembre de 2022

Una vez que un usuario está en manos del atacante al estar en el sitio web del atacante, puede sucumbir a la ingeniería social, el phishing, etc. Solo las estafas de phishing cuestan a las empresas y al público en general miles de millones por año.

Desde el punto de vista humano, este incidente puede generar una pérdida de confianza del usuario no solo para GoDaddy, sino también para las pequeñas y medianas empresas que confían en la plataforma para alojar el sitio web de su empresa, la tienda de comercio electrónico, etc. En estos días, el usuario la confianza es más importante que nunca para fomentar el crecimiento de los usuarios y la expansión del negocio. Según un estudio realizado por DigiCert , "el 84 % de los consumidores cambiaría a un competidor si perdiera la confianza en la empresa". Un solo incidente, por no hablar de los casos repetidos, degradará la confianza del usuario más rápido de lo que una empresa puede recuperarla rápidamente.

Últimos desarrollos

A partir del 2022-12-20, GoDaddy está trabajando en este incidente (INC-5492776). No estoy seguro de si se trata de un número de seguimiento de incidente interno o de algo a lo que puedan acceder los clientes de GoDaddy.

Somos conscientes del problema y estamos trabajando para corregirlo ahora. Les puedo asegurar que nuestros equipos están trabajando diligentemente para restablecer el servicio lo antes posible. ^CG

— Ayuda de GoDaddy (@GoDaddyHelp) 20 de diciembre de 2022

Anteriormente, se sospechaba que se trataba de un problema relacionado con el firewall, pero desde entonces se ha desmentido. Los ingenieros y usuarios de GoDaddy han descubierto que este problema ocurre independientemente de las configuraciones del firewall.

¡Gracias por leer!

💎 Gracias por tomarse el tiempo para revisar esta publicación. Para obtener más contenido como este, diríjase a mi blog real. Siéntete libre de contactarme en LinkedIn y seguirme en Github .