GoDaddy 安全漏洞事件分析

关键要点

GoDaddy 最近的安全漏洞揭露了他们在长期内如何受到攻击，导致源代码被盗及客户网站被恶意重定向。尽管自 2020 年 5月首次公开事件后，GoDaddy 对此事并未详细说明，但在最新的 SEC 文件中正式确认了这一漏洞的存在。

具体的攻击细节在上周的披露中仍缺失，客户尚未获得防御攻击或确认自身受影响的技术指标。GoDaddy在对安全事件的分析中指出，这次攻击由同一名入侵者进行，其间发生了三次重要的攻击事件。

在 2022 年 12 月，GoDaddy 首次报告一名高级威胁者获得了其 cPanel主机服务器的访问权限，随后安装了间歇性将随机客户网站重定向到恶意网站的恶意软件。

2023年2月16日，GoDaddy 发布了相关声明，表示“一旦确认入侵，我们立即采取措施进行修复，并实施安全措施以防止未来的感染。”

上周的披露将三次攻击事件首次连在了一起，也是对2022年12月漏洞的首次说明。

在 2021 年 11 月，该公司报告同样的入侵者攻击了 GoDaddy 的托管 WordPress 服务，盗取了与 WordPress系统相关的源代码，进而获取了管理员凭证、FTP 帐户访问权限以及 120 万名活跃和非活跃客户的电子邮件地址。

另外，GoDaddy 在 2020 年 3 月表示，攻击者获得了 28,000 个属于客户的登录凭证以及少量员工帐户的凭证。

安全研究人员表示，此次安全漏洞的时间线令人担忧。导致多年滞留的问题表明整体安全性差、缺乏针对威胁的主动侦查以及其他系统性问题。

GoDaddy这样的托管公司在互联网中处于非常特殊的地位，这使它们成为攻击者的极具吸引力的目标。由于它们承载了大量的网页基础设施，因此攻击一个目标便可获取多个利益。

Zane Bond，Keeper Security 产品负责人推测，如果一个高级威胁者已经在 GoDaddy系统内潜伏多年且保持安静，那么突然开始重定向低价值网站的理由并不充分。反而，这可能表明有多个攻击者同时入侵了公司的网络。

尽管 GoDaddy 在其文件和公开声明中坚持认为此次攻击只有一名入侵者，但对于攻陷者是个人还是团体仍然不清楚。

Bond 指出，“一个初级攻击者可能首先开始重定向这些网站，这反过来又暴露了已经在内部的其他威胁参与者。”

Coalfire 副总裁 Andrew Barratt 表示，尽管源代码的被盗对攻击者来说非常诱人，但 GoDaddy的域名托管数据库更可能是潜在的宝藏，其中包含域名与 IP 地址的相关数据及所有关联的元数据。

Barratt 还表示，如果攻击者最终能够攻陷 DNS服务器，则有可能更改流量方向，将合法条目指向恶意网站，而最终的受害网站未必会及时察觉，因为它们并未直接受到攻击。

在 GoDaddy 报告的重定向案例中，攻击者在网站上植入了恶意软件以进行重定向。

安全专家们对 GoDaddy 延迟发布有关漏洞的细节感到不满，这些细节对客户和 IT 安全团队而言本应非常有价值。尽管客户在 2020 年 5月收到了攻击通知，但关于事件的具体信息及风险指示的缺乏让客户处于不利的地位。

根据身份盗窃资源中心的数据，报告漏洞的公司越来越少披露详细信息。最近的一项研究发现，在美国