GoDaddy finalmente ha implementado una solución a una vulnerabilidad que involucra a su centro de soporte en línea, donde cualquiera podría haber manipulado la falla y cambiar una cuenta de GoDaddy. Lo peor de todo es que cualquier abuso podría haber resultado en la eliminación de una cuenta con el registrador de dominios.
Según el investigador de seguridad Matthew Bryant, la vulnerabilidad se debió a una falla en un ataque de secuencias de comandos entre sitios. La vulnerabilidad se denomina XSS ciego. El investigador mismo explicó que una página de GoDaddy parecía tener fallas y sus campos de nombre comenzaron a aceptar cargas útiles de secuencias de comandos entre sitios. Eso significa que se pueden llevar a cabo ataques aleatorios contra un dominio para hacerse cargo de la cuenta.
Un probador de penetración no podría detectar este tipo de amenazas porque las cargas útiles del ataque podrían permanecer inactivas en un sitio web y simplemente esperar a que cualquier usuario active la carga útil. En ausencia de un sistema de notificación robusto para proporcionar una alerta sobre el ataque, un probador de penetración será inútil para identificar la vulnerabilidad XSS. Incluso un cuadro de diálogo típico no podrá resolver el problema.
En el caso de una falla ciega de XSS, una base de datos de usuario podría estar expuesta a aplicaciones de visualización de registros, además de ser legible para la aplicación web principal. Las aplicaciones de visualización de registros extraen información del mismo almacenamiento final que la base de datos del usuario.
Según el investigador, la aplicación de soporte en línea de GoDaddy aceptó la carga útil de una base de datos común y la transmitió a una página web. En el caso de la página de GoDaddy donde Bryant dejó la carga útil, la entrada se codificó. Sin embargo, la fuente de datos compartida permitió que la falla llegara a los servicios de GoDaddy.
A través de esta falla, los atacantes pueden tomar el control de la página de un agente de soporte de GoDaddy y abusar del privilegio para obtener acceso a otras cuentas, modificar nombres de dominio o incluso eliminar cuentas. El riesgo es que su sitio web, si está alojado por GoDaddy, podría simplemente desaparecer de Internet. Esto es particularmente alarmante, especialmente para las grandes empresas de Internet.
GoDaddy no fue lo suficientemente rápido para solucionar el problema, ya que el registrador de dominios tardó meses en lanzar el parche. Bryant, que había empleado una herramienta para detectar fallas de secuencias de comandos entre sitios, afirmó que GoDaddy inicialmente lo invitó a ser parte del programa privado de recompensas por errores de la compañía en diciembre. Dos meses después, GoDaddy le dijo a Bryant que sus hallazgos eran duplicados y aún meses después, el investigador pidió permiso para revelar públicamente la falla. GoDaddy solicitó lo contrario debido a la gravedad de la falla.
