El registrador de dominios GoDaddy soluciona una grave vulnerabilidad CSRF que permitía el secuestro de sesiones en dominios

El conocido registrador de dominios GoDaddy arregló una vulnerabilidad (CSRF o XSRF, cross-site request forgery, por sus siglas en inglés) que podría haber permitido a un atacante cambiar la configuración del dominio de un sitio registrado con GoDaddy.

El fallo se reportó el sábado y fué parcheada en 48 horas, de acuerdo con el descubridor del bug Dylan Saccomanni, consultor de pruebas de penetración e investigador de seguridad de aplicaciones web en Nueva York.

"Esta vulnerabilidad radica en la configuración del dominio de GoDaddy (no en los ajustes de cuenta). Si se dirige a "dominios" cuando inicia sesión en GoDaddy, se le presentarán varias opciones y configuraciones que se pueden editar para el dominio específico que eligió", dijo Saccomanni. "Ahí es donde se encuentra el problema".


Dylan Saccomanni se dió cuenta que en GoDaddy, no había absolutamente ninguna cross-site protección falsificación de petición  en muchas acciones de administración de DNS de GoDaddy, que son las peticiones POST cambia de estado (sin token CSRF en cuerpo de la solicitud o las cabeceras, y no cumplimiento de de Referer o Content-Type). De hecho, puedes editarla servidores de nombres, cambiar de auto-renovación de los ajustes y editar el archivo de zona en su totalidad sin ninguna protección CSRF en el cuerpo de la petición o encabezados.

CSRF funciona cuando un usuario autenticado para una aplicación web o dominio es forzado por un atacante a hacer peticiones de cambio de estado, en este caso incluyendo las peticiones administrativas. El atacante, sin embargo, tendría que combinar esto con algún tipo de ingeniería social para engañar a la víctima y llevarla al sitio que hospeda el ataque.

"No sería difícil de explotarlo en absoluto", dijo Saccomanni. "El atacante tendría que hacer que su víctima llene un formulario de aspecto muy profesional (tal vez ni siquiera relacionado con GoDaddy en absoluto), y tiene que encontrar la manera de que  GoDaddy realice una configuración de dominio cambiando las peticiones mientras están conectados.

Ejemplo de petición NameServers:

POST /dcc50/Modals/DomainActions/NSManageWS.asmx/ValidateNameserver HTTP/1.1
Host: dcc.godaddy.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 175
Cookie: [REDACTED]
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

{'request':'{"isall":false,"nsobjs":[{"ns":"foo.example.com","ips": [],"index":0,"add":1,"status":""}, {"ns":"bar.example.com","ips": [],"index":1,"add":1,"status":""}]}'

Disclosure Timeline

• 01/17/15 – Initial discovery and attempt to reach GoDaddy security.
• 01/18/15 – Further attempts to reach GoDaddy security, finally received word there was no timeline for a fix.
• 01/19/15 – GoDaddy implemented CSRF protection for sensitive account actions.