GoDaddy がリダイレクト ハッキングの被害に遭う

ここ数日、Web サイトの所有者、特に GoDaddy でホスティングしている所有者は、さまざまな Web サイトへの奇妙なリダイレクトを経験しています。これらのリダイレクトは常に発生するわけではありませんが、ユーザーが最初にページにアクセスしたとき、またはページをトリガーするのに十分な回数更新したときに発生するようです.私のお気に入りのレストランのウェブサイトにアクセスしたとき、私は最初にこの問題に出くわしました.料理やメニューなどの写真が掲載されたページではなく、 偽のAVページが表示されました。

使い方

私が発見した他のセキュリティ問題と同様に、これが何であるか、どのように機能するか、およびそれを回避する方法があるかどうかを調査するために、うさぎの穴に飛び込むことになります。残念ながら、この事件に関して、私が提供できる最善の視点は部外者としてのものです.侵害された GoDaddy Web サイトがあれば、この調査は容易になりますが、それなしでは不可能ではありません。

大まかなイベントの順序は、テストやその他の観察に基づいて次のようになります。

1.ユーザーは、GoDaddy でホストされている侵害された Web サイトにアクセスします。

私のように、ユーザーはよく知っているローカル ビジネスの Web サイトにアクセスできます。

2. 最初のリダイレクトが発生する

いくつかのブラック ボックス ロジック (通常は初めての訪問者または偶然) を通じて、GoDaddy サーバーはユーザーに302を送信して、ユーザーを攻撃者の Web サイトにリダイレクトします。私が見つけた侵害されたすべての Web サイトは46.4.68.136にリダイレクトされます。

現在、GoDaddy のロード バランサーが侵害されているという憶測があります。特定の要求によって攻撃者のページにリダイレクトされますが、これは予想よりも頻繁に発生しません。これらの侵害されたサイトのキャッシュ バージョンでは、HTTP 応答のヘッダーにリダイレクトが表示されます。このヘッダーにより、ブラウザーはpath変数で指定された Web サイトにリダイレクトされます。

以下にいくつかの例を示します。

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8

 HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

これらの Web サイトは、Apache を搭載したサーバーから応答を受信し、ユーザーを同じ悪意のある IP アドレスにリダイレクトします。WordPress を使用しているかどうかは関係ありません。

最終的に攻撃者のホストにリダイレクトされるすべてのユーザーは、応答ヘッダーから設定された Cookie でタグ付けされます。そのホストでの後続のすべてのリクエストにも、被害者を識別するためにその Cookie が含まれます。

 Set-Cookie: a8163=<JWT looking token>

3. 2 回目のリダイレクトが発生する

リダイレクトは、ユーザーを攻撃者の Web サイトの特定のページに誘導します。次に、このページは JavaScript を実行して、ユーザーをフィッシングまたはポルノ コンテンツにリダイレクトします。表示されるページの基本構造は次のとおりです。

 <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>

特に、Github で非常によく似たスニペットを見つけることができます。上記のリダイレクトは、ユーザーをリダイレクトするために使用される新しい戦術ではありません。このリダイレクトの後、ユーザーは攻撃者の最終目的地にいます。

攻撃者のサイトについて

攻撃サイトをいじってみました。興味深い事実: リダイレクト ページは、IP や場所によって変わります。北米にいる場合、このページは偽の AV スキャナーにリダイレクトします。私がヨーロッパ、アジア、南アメリカなどにいた場合、それぞれが望ましくないコンテンツを表示する別のページにリダイレクトされます.これは、場所に応じてある程度の有効性に基づいて攻撃ペイロードを特殊化するために意図的に行われているのでしょうか、それとも単にランダムに行われているのでしょうか?

なぜこれが深刻なのか

一般に、攻撃は広範囲に及んでおり、攻撃している Web サイトの IP アドレスを Google で検索するだけで、多くの侵害された Web サイトを見つけることができます。このCloudflareサポートの質問で明らかなように、多くのWebサイト所有者がこれの影響を受けています.特に、この問題でさえ、SvelteKit ドキュメント内のリンクの 1 つに行き着きました。

@ColinQuarelloが示したように、攻撃が WordPress プラグインに影響を与えることは明らかではありません。 Web サイトにコンテンツがアップロードされていなくても、新しくプロビジョニングされたアカウントも影響を受けます。

このことから、これはホスティング プロバイダーのシステム全体の問題である可能性があると推測できます。

@GoDaddyHelp @GoDaddy 302 リダイレクトが、ロード バランサーから共有ホスティング インフラストラクチャ上のスパム/ポルノ サイトに発生しています。新しいアカウントをプロビジョニングしたところ、サイトにコンテンツがなかったときにすぐに 302 リダイレクトが発生しました。ヘッダーも偽造されたように見えました。これは深刻です。

— コリン・クアレロ (@ColinQuarello) 2022 年 12 月 19 日

ユーザーが攻撃者の Web サイトにアクセスして攻撃者の手に渡ると、ソーシャル エンジニアリングやフィッシングなどに屈する可能性があります。

人的側面では、この事件は、GoDaddy だけでなく、会社の Web サイトや e コマース ストアなどをホストするプラットフォームに依存している中小企業のユーザーの信頼を失うことにつながる可能性があります。ユーザーの成長とビジネスの拡大を促進するためには、信頼がこれまで以上に重要になっています。 DigiCertが実施した調査によると、「消費者の 84% は、企業に対する信頼を失った場合、競合他社に乗り換えるだろう」.インシデントが 1 回発生しただけで、企業が迅速に回復するよりも早くユーザーの信頼を低下させてしまいます。

最新の開発

2022 年 12 月 20 日現在、GoDaddy は現在このインシデントに取り組んでいます (INC-5492776)。これが社内のインシデント追跡番号なのか、GoDaddy の顧客がアクセスできるものなのかはわかりません。

私たちはこの問題を認識しており、現在修正に取り組んでいます。私たちのチームは、できるだけ早くサービスを復旧するために熱心に取り組んでいることを保証できます. ^CG

— GoDaddy ヘルプ (@GoDaddyHelp) 2022 年 12 月 20 日

以前は、ファイアウォール関連の問題であると疑われていましたが、これは反証されています。 GoDaddy のエンジニアとユーザーは、ファイアウォールの設定に関係なく、この問題が発生することを発見しました。

読んでくれてありがとう！

💎 この投稿をチェックしていただきありがとうございます。このようなその他のコンテンツについては、実際のブログにアクセスしてください。 LinkedInでお気軽にご連絡ください。Githubでフォローしてください。