GoDaddy thành công với hack chuyển hướng rộng rãi

Trong vài ngày qua, chủ sở hữu trang web, đặc biệt là những người lưu trữ trên GoDaddy, đã gặp phải tình trạng chuyển hướng lạ đến nhiều trang web khác nhau. Những chuyển hướng này không phải lúc nào cũng xảy ra, nhưng dường như chúng xảy ra khi người dùng truy cập trang lần đầu tiên hoặc làm mới đủ số lần để kích hoạt trang đó. Lần đầu tiên tôi gặp vấn đề này khi truy cập trang web của một nhà hàng yêu thích của tôi. Thay vì nhìn thấy một trang có hình ảnh về đồ ăn, thực đơn, v.v., tôi được xem một trang AV giả mạo .

Làm thế nào nó hoạt động

Giống như các vấn đề bảo mật khác mà tôi phát hiện ra, cuối cùng tôi cũng nhảy xuống lỗ thỏ để điều tra xem đây là gì, nó hoạt động như thế nào và liệu có cách nào để tránh nó không. Thật không may, đối với sự cố này, góc nhìn tốt nhất mà tôi có thể đưa ra là với tư cách là một người ngoài cuộc. Một trang web GoDaddy bị xâm nhập sẽ giúp việc điều tra này dễ dàng hơn, nhưng không phải là không thể nếu không có nó.

Ở cấp độ cao, chuỗi sự kiện như sau dựa trên thử nghiệm và các quan sát khác:

1. Người dùng truy cập một trang web bị xâm nhập được lưu trữ trên GoDaddy.

Giống như tôi, người dùng có thể truy cập trang web của doanh nghiệp địa phương mà họ quen thuộc.

2. Chuyển hướng ban đầu xảy ra

Thông qua logic hộp đen nào đó (thường dành cho khách truy cập lần đầu hoặc tình cờ), máy chủ GoDaddy gửi mã 302 tới người dùng để chuyển hướng họ đến trang web của kẻ tấn công. Mọi trang web bị xâm nhập mà tôi tìm thấy đều chuyển hướng đến 46.4.68.136 .

Hiện tại, có suy đoán rằng bộ cân bằng tải của GoDaddy đã bị xâm phạm. Các yêu cầu cụ thể sẽ chuyển hướng bạn đến trang của kẻ tấn công, nhưng điều này xảy ra ít thường xuyên hơn dự kiến. Các phiên bản được lưu trong bộ nhớ cache của các trang web bị xâm phạm này hiển thị chuyển hướng trong tiêu đề của phản hồi HTTP. Tiêu đề này sẽ khiến trình duyệt chuyển hướng đến trang web được chỉ định trong biến path .

Dưới đây là một số ví dụ.

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 22:23:24 GMT Server: Apache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Cache-Control: no-cache Pragma: no-cache Set-Cookie: b64618f79bd8f79428b7f1f80c1abceb=qtjmovs3948hi5t1m2shhambr4; path=/ Location: http://46.4.68.136/[REDACTED]?DOM=www.vocationalvisions.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/HTML; charset=utf-8

 HTTP/1.1 302 Found Date: Sat, 17 Dec 2022 17:21:14 GMT Server: Apache X-Pingback: http://www.bookkeepingservicesclt.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=www.bookkeepingservicesclt.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Fri, 16 Dec 2022 14:43:04 GMT Server: Apache Location: http://46.4.68.136/[REDACTED]?DOM=www.daria-snadowsky.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Length: 0 Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Tue, 13 Dec 2022 14:00:31 GMT Server: Apache X-Powered-By: PHP/5.6.40 Link: <http://saslist.com/wp-json/>; rel="https://api.w.org/" Location: http://46.4.68.136/[REDACTED]?DOM=saslist.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

 HTTP/1.1 302 Found Date: Wed, 14 Dec 2022 00:20:15 GMT Server: Apache X-Powered-By: PHP/5.6.40 X-Pingback: http://paypointeinc.com/xmlrpc.php Location: http://46.4.68.136/[REDACTED]?DOM=paypointeinc.com&URI=%2findex.php Connection: close Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8

Các trang web này nhận được phản hồi từ máy chủ do Apache cung cấp và sẽ chuyển hướng người dùng đến cùng một địa chỉ IP độc hại -- cho dù họ có sử dụng WordPress hay không cũng không quan trọng.

Mọi người dùng cuối cùng được chuyển hướng đến máy chủ của kẻ tấn công sau đó được gắn thẻ với một bộ cookie từ tiêu đề phản hồi. Mọi yêu cầu tiếp theo trên máy chủ đó cũng sẽ bao gồm cookie đó để xác định nạn nhân.

 Set-Cookie: a8163=<JWT looking token>

3. Chuyển hướng thứ hai xảy ra

Chuyển hướng đưa người dùng đến một trang cụ thể trên trang web của kẻ tấn công. Sau đó, trang này chạy JavaScript để chuyển hướng họ đến nội dung lừa đảo hoặc khiêu dâm. Cấu trúc cơ bản của trang chúng ta thấy như sau:

 <html> <head> <script type="application/javascript"> function process() { if (window.location !== window.parent.location ) { top.location = "http://bad.website"; } else { window.location = "http://bad.website"; } } window.onerror = process; process();</script> </head> <body> The Document has moved <a href="http://bad.website">here</a> </body> </html>

Đáng chú ý là bạn có thể tìm thấy những đoạn mã rất giống nhau trên Github. Chuyển hướng ở trên không phải là một chiến thuật mới được sử dụng để chuyển hướng người dùng. Sau chuyển hướng này, người dùng đang ở điểm đến cuối cùng của kẻ tấn công.

Về trang web của kẻ tấn công

Tôi đã chơi xung quanh với các trang web tấn công. Sự thật thú vị: trang chuyển hướng thay đổi tùy thuộc vào IP/vị trí của bạn. Trang này sẽ chuyển hướng tôi đến máy quét AV giả mạo nếu tôi ở Bắc Mỹ. Nếu tôi ở Châu Âu, Châu Á, Nam Mỹ, v.v., mỗi nơi sẽ chuyển hướng tôi đến các trang khác nhau hiển thị nội dung không mong muốn. Điều này được thực hiện có chủ ý để chuyên biệt hóa các trọng tải tấn công dựa trên một số mức độ hiệu quả theo vị trí hay nó chỉ được thực hiện ngẫu nhiên?

Tại sao điều này là nghiêm trọng

Nhìn chung, cuộc tấn công diễn ra trên diện rộng, nơi chúng tôi có thể tìm thấy nhiều trang web bị xâm nhập chỉ bằng một tìm kiếm đơn giản trên Google về địa chỉ IP của trang web tấn công. Nhiều chủ sở hữu trang web bị ảnh hưởng bởi điều này, như đã được chứng minh bằng câu hỏi hỗ trợ Cloudflare này. Đáng chú ý, ngay cả vấn đề này cũng tìm đến một trong các liên kết trong tài liệu SvelteKit.

Không rõ ràng là cuộc tấn công có tác động đến các plugin của WordPress, như @ColinQuarello đã chứng minh. Các tài khoản mới được cung cấp cũng bị ảnh hưởng ngay cả khi không có nội dung nào được tải lên trang web.

Từ đó, chúng tôi có thể cho rằng đây có thể là sự cố toàn hệ thống đối với nhà cung cấp dịch vụ lưu trữ.

@GoDaddyHelp @GoDaddy Đang có chuyển hướng 302 từ bộ cân bằng tải của bạn tới các trang web spam/khiêu dâm trên cơ sở hạ tầng lưu trữ dùng chung. Tôi đã cấp một tài khoản mới và ngay lập tức nhận được chuyển hướng 302 khi không có nội dung trên trang web . Tiêu đề trông giả mạo quá. Điều này là nghiêm trọng.

– Colin Quarello (@ColinQuarello) ngày 19 tháng 12 năm 2022

Khi người dùng nằm trong tay kẻ tấn công bằng cách truy cập trang web của kẻ tấn công, họ có thể không chống lại được kỹ thuật xã hội, lừa đảo, v.v. Chỉ riêng các vụ lừa đảo đã khiến các công ty và công chúng nói chung thiệt hại hàng tỷ đô la mỗi năm.

Về phía con người, sự cố này có thể dẫn đến sự mất lòng tin của người dùng không chỉ đối với GoDaddy mà còn đối với các doanh nghiệp vừa và nhỏ dựa vào nền tảng này để lưu trữ trang web, cửa hàng thương mại điện tử, v.v. của công ty họ. Ngày nay, người dùng niềm tin quan trọng hơn bao giờ hết để thúc đẩy tăng trưởng người dùng và mở rộng kinh doanh. Theo một nghiên cứu được thực hiện bởi DigiCert , "84% người tiêu dùng sẽ chuyển sang đối thủ cạnh tranh nếu họ mất niềm tin vào doanh nghiệp". Một sự cố đơn lẻ, chưa nói đến việc xảy ra lặp đi lặp lại, sẽ làm suy giảm lòng tin của người dùng nhanh hơn tốc độ mà một doanh nghiệp có thể lấy lại được.

Phát triển mới nhất

Kể từ ngày 2022-12-2020, GoDaddy hiện đang xử lý sự cố này (INC-5492776). Tôi không chắc liệu đây có phải là số theo dõi sự cố nội bộ hay là số mà khách hàng của GoDaddy có thể truy cập hay không.

Chúng tôi đã biết sự cố và đang làm việc để khắc phục sự cố ngay bây giờ. Tôi có thể đảm bảo với bạn rằng các nhóm của chúng tôi đang nỗ lực làm việc để khôi phục dịch vụ càng sớm càng tốt. ^CG

— Trợ giúp GoDaddy (@GoDaddyHelp) Ngày 20 tháng 12 năm 2022

Trước đây, nó bị nghi ngờ là một vấn đề liên quan đến tường lửa, nhưng điều này đã bị bác bỏ. Các kỹ sư và người dùng của GoDaddy đã nhận thấy sự cố này xảy ra bất kể cấu hình tường lửa.

Cảm ơn vì đã đọc!

💎 Cảm ơn bạn đã dành thời gian để xem bài viết này. Để biết thêm nội dung như thế này, hãy truy cập blog thực tế của tôi. Vui lòng liên hệ với tôi trên LinkedIn và theo dõi tôi trên Github .