Alla fine della scorsa settimana [2023-02-16], la popolare società di web hosting GoDaddy ha presentato la relazione annuale obbligatoria 10-K alla Securities and Exchange Commission (SEC) statunitense.
Alla voce Rischi operativi, GoDaddy ha rivelato che:
- Nel dicembre 2022, una terza parte non autorizzata ha avuto accesso e installato un malware sui nostri server di hosting cPanel. Il malware reindirizzava a intermittenza siti web casuali dei clienti verso siti dannosi. Continuiamo a indagare sulla causa principale dell’incidente.
- Il reindirizzamento degli URL, noto anche come inoltro degli URL, è una caratteristica ineccepibile dell’HTTP (il protocollo di trasferimento degli ipertesti) ed è comunemente utilizzato per una grande varietà di motivi.
Ad esempio, potreste decidere di cambiare il nome del dominio principale della vostra azienda, ma volete mantenere in vita tutti i vostri vecchi link; la vostra azienda potrebbe essere acquisita e avere bisogno di trasferire i suoi contenuti web sui server del nuovo proprietario; oppure potreste semplicemente voler mettere offline il vostro sito web attuale per manutenzione, e nel frattempo reindirizzare i visitatori a un sito temporaneo.
Un altro uso importante del reindirizzamento degli URL è quello di dire ai visitatori che arrivano al vostro sito web tramite il vecchio HTTP non criptato che devono invece visitarlo tramite HTTPS (HTTP sicuro).
Poi, una volta che si sono ricollegati tramite una connessione criptata, potete includere un’intestazione speciale per indicare al loro browser di iniziare con HTTPS in futuro, anche se cliccano su un vecchio link http://… o digitano erroneamente http://… a mano.
In effetti, i reindirizzamenti sono così comuni che, se frequentate gli sviluppatori web, li sentirete nominare con i loro codici HTTP numerici, proprio come noi parliamo di “ricevere un 404” quando cerchiamo di visitare una pagina che non esiste più, semplicemente perché 404 è il codice di errore HTTP Not Found.
In realtà esistono diversi codici di reindirizzamento, ma quello che probabilmente sentirete nominare più spesso è il reindirizzamento 301, noto anche come Moved Permanently. In questo caso si sa che il vecchio URL è stato ritirato ed è improbabile che ricompaia come link direttamente raggiungibile. Gli altri includono i reindirizzamenti 303 e 307, comunemente noti come See Other e Temporary Redirect, utilizzati quando si prevede che il vecchio URL tornerà in servizio.
Cosa fare?
Sfortunatamente, GoDaddy ha impiegato quasi tre mesi per informare il mondo di questa violazione, e anche ora non c’è molto su cui basarsi.
Che siate utenti web che hanno visitato un sito ospitato da GoDaddy dal dicembre 2022 (il che probabilmente include la maggior parte di noi, che ce ne rendiamo conto o meno), o operatori di siti web che utilizzano GoDaddy come società di hosting…
… non siamo a conoscenza di alcun indicatore di compromissione (IoC), o “segno di attacco”, che avreste potuto notare all’epoca o che possiamo consigliarvi di cercare ora.
Peggio ancora, anche se GoDaddy descrive la violazione sul suo sito web con il titolo Statement on recent website redirect issues (Dichiarazione sui recenti problemi di reindirizzamento dei siti web), nel suo documento 10-K afferma che potrebbe trattarsi di un attacco molto più lungo di quanto la parola “recente” sembri implicare:
Sulla base delle nostre indagini, riteniamo [che questo e altri incidenti risalenti almeno al marzo 2000] facciano parte di una campagna pluriennale da parte di un gruppo di sofisticati attori di minacce che, tra le altre cose, ha installato malware sui nostri sistemi e ottenuto pezzi di codice relativi ad alcuni servizi di GoDaddy.
Come già detto, GoDaddy ha assicurato alla SEC che “continuiamo a indagare sulla causa principale dell’incidente”.