GoDaddy heeft eindelijk een oplossing geïmplementeerd voor een kwetsbaarheid met betrekking tot zijn online ondersteuningscentrum, waar iedereen de fout had kunnen manipuleren en een GoDaddy-account had kunnen wijzigen. Het ergste van alles is dat elk misbruik kan hebben geleid tot de verwijdering van een account bij de domeinregistreerder.
Volgens beveiligingsonderzoeker Matthew Bryant was de kwetsbaarheid te wijten aan een fout in een cross-site scripting-aanval. De kwetsbaarheid wordt blind XSS genoemd. De onderzoeker legde zelf uit dat een GoDaddy-pagina buggy’s leek te bevatten en dat de naamvelden ervan cross-site scripting-payloads begonnen te accepteren. Dat betekent dat willekeurige aanvallen op een domein kunnen worden uitgevoerd om het account over te nemen.
Een penetratietester zou dit soort bedreigingen niet kunnen detecteren, omdat de payloads van de aanval inactief kunnen blijven op een website en gewoon wachten tot een gebruiker de payload activeert. Als er geen robuust meldingssysteem is om een waarschuwing over de aanval te geven, is een penetratietester nutteloos bij het identificeren van de XSS-kwetsbaarheid. Zelfs een typische dialoog zal het probleem niet kunnen oplossen.
In het geval van een blinde XSS-fout kan een gebruikersdatabase worden blootgesteld aan toepassingen voor het bekijken van logbestanden, naast dat deze kan worden gelezen door de hoofdwebtoepassing. Toepassingen voor het bekijken van logboeken halen informatie uit dezelfde backend-opslag als de database van de gebruiker.
Volgens de onderzoeker accepteerde GoDaddy’s online ondersteuningsapplicatie de payload uit een gemeenschappelijke database en stuurde deze naar een webpagina. In het geval van de GoDaddy-pagina waar Bryant de payload achterliet, was de invoer gecodeerd. Door de gedeelde gegevensbron kon de fout echter GoDaddy-services bereiken.
Door deze fout kunnen aanvallers de controle over de pagina van een GoDaddy-ondersteuningsagent overnemen en misbruik maken van het privilege om toegang te krijgen tot andere accounts, domeinnamen te wijzigen of zelfs accounts te verwijderen. Het risico is dat uw website, als deze wordt gehost door GoDaddy, eenvoudigweg van internet kan verdwijnen. Dit is vooral zorgwekkend, vooral voor grote internetbedrijven.
GoDaddy was niet snel genoeg om het probleem op te lossen, aangezien de domeinregistrar maanden nodig had om de patch uit te brengen. Bryant, die een tool had gebruikt om cross-site scriptfouten te detecteren, zei dat GoDaddy hem aanvankelijk in december uitnodigde om deel uit te maken van het private bug bounty-programma van het bedrijf. Twee maanden later vertelde GoDaddy Bryant dat zijn bevindingen duplicaten waren, en nog maanden later vroeg de onderzoeker toestemming om de fout openbaar te maken. GoDaddy heeft anders verzocht vanwege de ernst van de fout.
