Goliaths Domínio GoDaddy se apressou para ligar uma vulnerabilidade que permitiu aos atacantes seqüestrar sítios registrados.
Pen tester Dylan Saccomanni caiu o Cross-Site Request Forgery (CSRF) bug em seu blog depois que a empresa disse que não há cronograma para uma correção.
GoDaddy aplicada uma correção de menos de 24 horas após o blog foi publicado.
"Um atacante pode aproveitar uma vulnerabilidade CSRF para assumir domínios registrados com GoDaddy", disse Saccomanni.
"Eles não precisam de informações confidenciais sobre a conta da vítima, ou - para renovar auto-e servidores de nomes, você não precisa saber nada.
"Para o gerenciamento de registro de DNS, tudo que você precisa saber é o nome de domínio dos registros de DNS."
O código postado hackers necessário para edição nameservers e registros de DNS, e desligar auto-renovar características.
Ele descobriu a falha, enquanto lidava com uma conta antiga, a descoberta de uma falta de proteção CSRF em ações de gerenciamento de DNS do GoDaddy.
"Na verdade, você poderia editar nameservers, altere-renovação auto configurações e editar o arquivo de zona totalmente sem qualquer proteção CSRF no corpo ou cabeçalhos de solicitação", disse ele.
O tipo de vulnerabilidade foi explorada por hackers através de engenharia social, muitas vezes phishing, para forçar os administradores autenticados para alterar as condições ou pedidos
GoDaddy não foi imediatamente capaz de dizer se as contas foram comprometidas.
Saccomanni disse que ele tentou chamar GoDaddy e enviado três endereços antes de golpear sorte no Twitter. ®
Nenhum comentário:
Postar um comentário