GoDaddy Hit avec un piratage de redirection généralisé

Au cours des derniers jours, les propriétaires de sites Web, en particulier ceux qui hébergent sur GoDaddy, ont été confrontés à d'étranges redirections vers divers sites Web. Ces redirections ne se produisent pas tout le temps, mais elles semblent se produire lorsqu'un utilisateur visite une page pour la première fois ou l'actualise suffisamment de fois pour la déclencher. Je suis tombé sur ce problème pour la première fois en visitant le site Web d'un de mes restaurants préférés. Au lieu de voir une page avec des photos de plats, de menus, etc., on m'a présenté une fausse page AV .

Comment ça fonctionne

Comme avec d'autres problèmes de sécurité que je découvre, je finis par sauter dans le terrier du lapin pour enquêter sur ce que c'est, comment cela fonctionne et s'il existe un moyen de l'éviter. Malheureusement, pour cet incident, la meilleure perspective que je puisse donner est en tant qu'étranger. Un site Web GoDaddy compromis faciliterait cette enquête, mais ce n'est pas impossible sans lui.

À un niveau élevé, la séquence des événements est la suivante, basée sur des tests et d'autres observations :

1. L'utilisateur visite un site Web compromis hébergé sur GoDaddy.

Comme moi, les utilisateurs peuvent visiter le site Web d'une entreprise locale qu'ils connaissent.

2. La redirection initiale se produit

Grâce à une logique de boîte noire (généralement pour les nouveaux visiteurs ou par hasard), les serveurs GoDaddy envoient un 302 à l'utilisateur pour le rediriger vers le site Web de l'attaquant. Chaque site Web compromis que j'ai trouvé redirige vers 46.4.68.136 .

Actuellement, il y a des spéculations selon lesquelles les équilibreurs de charge de GoDaddy sont compromis. Des requêtes spécifiques vous redirigeront vers la page de l'attaquant, mais cela se produit moins souvent que prévu. Les versions mises en cache de ces sites compromis affichent une redirection dans l'en-tête de la réponse HTTP. Cet en-tête entraînera la redirection du navigateur vers le site Web spécifié dans la variable de path .

Voici quelques exemples.

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8

 HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

Ces sites Web reçoivent une réponse d'un serveur alimenté par Apache et redirigent l'utilisateur vers la même adresse IP malveillante - qu'ils utilisent ou non WordPress ne joue aucun rôle.

Chaque utilisateur qui finit par être redirigé vers l'hôte de l'attaquant est alors étiqueté avec un cookie défini à partir de l'en-tête de réponse. Chaque demande ultérieure sur cet hôte inclura également ce cookie pour identifier la victime.

 Set-Cookie: a8163=<JWT looking token>

3. La deuxième redirection se produit

La redirection dirige l'utilisateur vers une page spécifique du site Web de l'attaquant. Cette page exécute ensuite JavaScript pour les rediriger vers du contenu de phishing ou pornographique. La structure de base de la page que nous voyons est la suivante :

 <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>

Vous pouvez notamment trouver des extraits très similaires sur Github. La redirection ci-dessus n'est pas une nouvelle tactique utilisée pour rediriger les utilisateurs. Après cette redirection, l'utilisateur se trouve à la destination finale de l'attaquant.

À propos du site de l'attaquant

J'ai joué avec le site attaquant. Fait amusant : la page de redirection change en fonction de votre adresse IP/localisation. La page me redirigerait vers le faux scanner AV si j'étais en Amérique du Nord. Si j'étais en Europe, en Asie, en Amérique du Sud, etc., chacun me redirigerait vers différentes pages affichant un contenu moins que souhaitable. Est-ce fait intentionnellement pour spécialiser les charges utiles d'attaque en fonction d'un certain niveau d'efficacité en fonction de l'emplacement, ou est-ce simplement fait au hasard ?

Pourquoi c'est sérieux

En général, l'attaque est généralisée, où nous pouvons trouver de nombreux sites Web compromis avec une simple recherche Google de l'adresse IP du site Web attaquant. De nombreux propriétaires de sites Web sont concernés par cela, comme en témoigne cette question d'assistance Cloudflare . Notamment, même ce problème a trouvé son chemin vers l'un des liens de la documentation SvelteKit.

Il n'est pas évident que l'attaque affecte les plugins WordPress, comme l'a démontré @ColinQuarello . Les comptes nouvellement provisionnés sont également affectés même si aucun contenu n'est téléchargé sur le site Web.

À partir de là, nous pouvons supposer que cela pourrait être un problème à l'échelle du système pour le fournisseur d'hébergement.

@GoDaddyHelp @GoDaddy 302 redirections se produisent de vos équilibreurs de charge vers des sites de spam/porno sur l'infrastructure d'hébergement partagé. J'ai provisionné un nouveau compte et j'ai immédiatement reçu une redirection 302 lorsqu'il n'y avait pas de contenu sur le site . Les en-têtes semblaient également falsifiés. C'est sérieux.

– Colin Quarello (@ColinQuarello) 19 décembre 2022

Une fois qu'un utilisateur est entre les mains de l'attaquant en étant sur le site Web de l'attaquant, il peut succomber à l'ingénierie sociale, au phishing, etc. Les escroqueries par phishing coûtent à elles seules des milliards aux entreprises et au grand public par an.

Sur le plan humain, cet incident peut entraîner une perte de confiance des utilisateurs non seulement pour GoDaddy, mais également pour les petites et moyennes entreprises qui s'appuient sur la plate-forme pour héberger le site Web de leur entreprise, leur boutique en ligne, etc. De nos jours, l'utilisateur la confiance est plus importante que jamais pour favoriser la croissance des utilisateurs et l'expansion de l'entreprise. Selon une étude réalisée par DigiCert , "84% des consommateurs passeraient à un concurrent s'ils perdaient confiance en l'entreprise". Un seul incident, sans parler des occurrences répétées, dégradera la confiance des utilisateurs plus rapidement qu'une entreprise ne pourra la regagner rapidement.

Derniers développements

Depuis le 2022-12-20, GoDaddy travaille actuellement sur cet incident (INC-5492776). Je ne sais pas s'il s'agit d'un numéro de suivi d'incident interne ou d'un élément auquel les clients GoDaddy peuvent accéder.

Nous sommes conscients du problème et nous nous efforçons de le corriger maintenant. Je peux vous assurer que nos équipes travaillent avec diligence pour rétablir le service dans les plus brefs délais. ^CG

– Aide GoDaddy (@GoDaddyHelp) 20 décembre 2022

Auparavant, on soupçonnait qu'il s'agissait d'un problème lié au pare-feu, mais cela a depuis été réfuté. Les ingénieurs et les utilisateurs de GoDaddy ont constaté que ce problème se produisait indépendamment des configurations de pare-feu.

Merci d'avoir lu!

💎 Merci d'avoir pris le temps de consulter cet article. Pour plus de contenu comme celui-ci, rendez-vous sur mon blog actuel. N'hésitez pas à me contacter sur LinkedIn et à me suivre sur Github .