Etki alanı kayıt kuruluşu ve Web barındırma şirketi GoDaddy, yıllardır hem şirketi hem de birçok bireysel ve kurumsal müşterisini etkileyen olağanüstü ölçekte bir siber barajla karşılaştı.
16 Şubat’ta yayınlanan 2022 için 10K başvurusunda açıklandığı gibi, şirket 2020’den beri her yıl aynı siber saldırganlar tarafından ihlal ediliyor ve en sonuncusu geçen Aralık ayında gerçekleşti. Şirketin daha önceki siber saldırılara da konu olduğunu belirtmekte fayda var. GoDaddy için sonuçları bir şeydir, ancak daha da önemlisi, ihlaller şirketin 1 milyondan fazla kullanıcısı için veri güvenliğinin ihlal edilmesine yol açmıştır.
Kötü adamların neden geri gelmeye devam ettiğinin anahtarı bu olabilir. GoDaddy, işinin doğası gereği dünya genelindeki milyonlarca işletmeyi birbirine bağlayan bir bağlantıdır. Horizon3ai’de müşteri başarı lideri Brad Hong’un belirttiği gibi: “Bu, ev sahibinizin ofisinin kilidinin açık bırakılmasına eşdeğerdir ve kötü bir aktörün evinizin anahtarlarına erişmesine izin verir.”
GoDaddy’nin Üç Başlı İhlali
Dünya COVID-19 ile mücadele ederken, binlerce GoDaddy müşterisinin ellerinde ikinci bir sorun vardı. Mart 2020’de şirket, bir saldırganın az sayıda çalışanının yanı sıra 28.000 barındırma müşterisinin oturum açma ayrıntılarını ele geçirdiğini keşfetti.
Daha kötü şeylerin habercisiydi.
Kasım 2021’de bir tehdit aktörü, GoDaddy’nin WordPress siteleri oluşturmak ve yönetmek için barındırma platformu olan Managed WordPress’e erişmelerine izin veren bir şifreyi ele geçirdi. Bu vaka 1,2 milyon Yönetilen WordPress müşterisine dokundu.
Daha fazlası vardı. 10K ile birlikte yayınlanan bir bildiride GoDaddy, üçüncü bir uzlaşmanın ayrıntılarını paylaştı.
Şirket, “Aralık 2022’nin başlarında, web sitelerinin aralıklı olarak yeniden yönlendirilmesiyle ilgili az sayıda müşteri şikayeti almaya başladık” dedi. Bir saldırganın, Web barındırıcıları için bir kontrol paneli programı olan cPanel için şirketin barındırma sunucularına güvenlik ihlali yaptığı ve kötü amaçlı yazılım yerleştirdiği ortaya çıktı. Bu kötü amaçlı yazılım, kullanıcıları zaman zaman ziyaret etmeyi amaçladıkları web sitelerinden kötü amaçlı sitelere yönlendiriyordu.
Şirket yaptıkları açıklamada, “Bu olayın GoDaddy gibi barındırma hizmetlerini hedef alan sofistike ve organize bir grup tarafından gerçekleştirildiğine dair kanıtları olduğunu ve kolluk kuvvetlerinin onayladığını iddia etti. Aldığımız bilgilere göre, açık amaçları web sitelerine virüs bulaştırmak. ve kimlik avı kampanyaları, kötü amaçlı yazılım dağıtımı ve diğer kötü amaçlı etkinlikler için kötü amaçlı yazılım içeren sunucular.”
Barındırma Hizmetlerinde Tedarik Zinciri Sorunu
Alan Adı Statüsüne göre GoDaddy, yaklaşık 80 milyon kayıtlı alan adı ile %12’den fazla pazar payı elde eden açık ara İnternet’teki en büyük alan adı kayıt kuruluşudur. Tek başına ölçek, onu siber saldırılar için çekici bir hedef haline getirir, ancak bir barındırma hizmeti olması bunu tamamen farklı bir hayvan yapar.
Resilience istihbarat analisti Allie Roblee, “GoDaddy ve diğer Web barındırma siteleri, tedarik zinciri saldırıları gerçekleştirmek isteyen düşmanlar için birincil hedeflerdir” diyor. Bir şirket, güçlü güvenlik uygulamaları ve yazılımları uygulamaya, kimlik avı saldırılarını savuşturmaya ve yazılım hatalarını düzeltmeye özen gösterebilir, ancak yine de Web barındırma hizmetleri gibi güvenilir bir sağlayıcı aracılığıyla savunmasız kalabilir. “GoDaddy gibi büyük hizmet sağlayıcıları ihlal etmek, rakiplerin doğrudan ulaşamayacakları kurum ve kişilerin güvenliğini aşmasına olanak tanır.”
Elbette, saldırganlar yan girişten içeri girdikten sonra, kimlik bilgilerini çalmaktan kötü amaçlı yazılım bırakmaya, kullanıcıları kötü amaçlı sitelere yönlendirmeye, daha sonra kullanmak üzere arka kapılar yerleştirmeye ve çok daha fazlasına kadar her şeyi yapabilirler. Ancak Hong, “bu tavizlerin sonuçları güvenliğin ötesine geçiyor” uyarısında bulunuyor.
Bir işletmenin web sitesini ziyaret etmek isteyen, ancak bunun yerine kötü amaçlı bir siteye yönlendirilen masum bir kişiyi düşünün. Bu kişi, o işletmenin web sitesini tekrar ziyaret etme riskini alır mı? Hong, bunun “milyonlarca değilse de binlerce meşru işletmenin itibarına ve operasyonlarına zarar verdiğine” dikkat çekiyor.
Bunun ötesinde, daha geniş bir maliyet var. “Bu satıcı seviyesindeki zayıf güvenlik, ayrıca saldırganların istedikleri hedefi gerçekleştirmek için güçlerini kat kat artırmalarına olanak tanır,” diye açıklıyor. Bu tür tavizler, “onlara yalnızca zengin PII ve özel anahtar veri zekası sağlamakla kalmaz, aynı zamanda, bir IoT botnet’e benzer şekilde, tekliflerini yerine getirmek için kapsamlı bir web siteleri ve sunucular ağı sağlar, ancak trafiği çoğaltmak yerine, başarılı bir şekilde gerçekleştirme şansını artırır. zayıflık olarak insanlara güvenen saldırılar.”
GoDaddy Müşterileri Neler Yapabilir?
İlk veya ikinci seferde bitmediyse, GoDaddy’ye karşı kampanyanın şimdi bitmiş olma olasılığı nedir? Roblee, “Saldırganların GoDaddy’nin altyapısına hala erişimi olması veya çalınan kaynak kodundaki güvenlik açıklarını bulma yeteneğine sahip olması ve erişimi yeniden kazanmak için istismar edebilmesi mümkündür” diye uyarıyor.
Bu nedenle, “Müşteriler, kötü amaçlı yazılım yüklenmediğinden emin olmak için web sitelerinde son zamanlarda değiştirilen veya yüklenen dosyaları denetlemelidir. Ek olarak, alan adlarından herhangi birinin geçici olarak yeniden yönlendirilip yönlendirilmediğini görmek için geçmiş DNS kayıtlarını kontrol etmenizi öneririm. “
Hong’un tavsiyesi daha da basit. “Etkilenen işletmeler her şeyi değiştirmeli!” potansiyel olarak etkilenen tüm giriş kimlik bilgileri dahil, “ve özellikle kullanımdan kaldırılıyor ve kullanılıyorsa yeni SSL özel anahtarları oluşturuluyor.”
Önleyici tedbirler, ileriye dönük olarak her zamankinden daha gerekli olacaktır. GoDaddy’nin 10.000’de değerlendirdiği gibi, “sunduğumuz ve daha fazla ülkede faaliyet gösterdiğimiz bulut tabanlı ürünlerin sayısını artırdıkça, saldırı riskinin artması muhtemel.”
GoDaddy, Dark Reading ile iletişime geçtiğinde yayınlanan beyanının ötesinde bu makale için yorum yapmayı reddetti.