237.700 επηρεαζόμενες διαδικτυακές υπηρεσίες φιλοξενούνται μόνο από την Hetzner. Επίσης, διάφοροι κυβερνητικοί ιστότοποι και γνωστές εταιρείες όπως οι Warner Bros και Mercedes-Benz φαίνεται να έχουν επηρεαστεί από τούτο το ζήτημα.
Στα τέλη Ιουνίου, ερευνητές ασφαλείας από τη Sansec προειδοποίησαν για μια επίθεση μέσω του διαδεδομένου έργου Javascript, Polyfill.io, το οποίο τον Φεβρουάριο εξαγοράστηκε από μια κινεζική εταιρεία ονόματι Funnull. Περαιτέρω έρευνες από την Censys δείχνουν τώρα ότι σχεδόν 400.000 Web hosts χρησιμοποιούν το έργο. Ένα μεγάλο μέρος αυτών βρίσκεται στη Γερμανία.
Οι ερευνητές της Sansec αναφέρθηκαν αρχικά σε “περισσότερους από 100.000 ιστότοπους”, οι οποίοι μέσω της ενσωμάτωσης του cdn.polyfill.io διαδίδουν κακόβουλο λογισμικό στις συσκευές των επισκεπτών τους. Η Censys, ωστόσο, αναφέρει έναν πολύ μεγαλύτερο αριθμό και ισχυρίζεται ότι έχει εντοπίσει συνολικά 384.773 Web hosts που παραπέμπουν στο συγκεκριμένο domain.
Σύμφωνα με τους ερευνητές, ένα μεγάλο μέρος αυτών, 237.700, φιλοξενείται στον γερμανικό πάροχο φιλοξενίας Hetzner. “Αυτό δεν είναι έκπληξη – η Hetzner είναι μια δημοφιλής υπηρεσία φιλοξενίας ιστοσελίδων που χρησιμοποιείται από πολλούς δημιουργούς ιστοσελίδων”, εξήγησαν.
Επηρεάζονται επίσης hosts γνωστών εταιρειών όπως οι Warner Bros, Hulu, Mercedes-Benz και Pearson. Επιπλέον, οι ερευνητές βρήκαν 182 επηρεαζόμενους Web hosts με domains .gov, που χρησιμοποιούνται για διαδικτυακές υπηρεσίες κυβερνήσεων.
Περαιτέρω δυνητικές κακόβουλες υπηρεσίες
Αυτό φαίνεται όμως να είναι μόνο ένα μέρος του προβλήματος, καθώς πλέον είναι γνωστό ότι εκτός από το polyfill.io υπάρχουν και άλλα domains υπό τον έλεγχο του ίδιου δράστη. Σε αυτά περιλαμβάνονται domains που ενσωματώνονται σε πολλές διαδικτυακές υπηρεσίες, όπως τα bootcdn.net, bootcss.com, staticfile.net και staticfile.org. Σύμφωνα με την Censys, υπάρχουν ενδείξεις ότι τουλάχιστον το domain bootcss.com έχει χρησιμοποιηθεί για κακόβουλες δραστηριότητες – και αυτό τουλάχιστον από τον Ιούνιο του 2023.
Λαμβάνοντας υπόψη αυτά τα πέντε domains names πού είναι αρκετά δημοφιλείς στο διαδίκτυο, έχει ως αποτέλεσμα να αυξάνεται ο αριθμός των Web hosts που δυνητικά διανέμουν κακόβουλο λογισμικό στους επισκέπτες ιστοσελίδων. Η Censys αναφέρει συνολικά 1.637.160 hosts που έχουν ενσωματώσει τουλάχιστον ένα από τα εν λόγω domains στις υπηρεσίες τους.
Στους προγραμματιστές ιστοσελίδων συνιστάται να αποφεύγουν την ενσωμάτωση του polyfill.io στα έργα τους. Η Cloudflare και η Fastly έχουν παράσχει εναλλακτικές λύσεις, οι οποίες θεωρούνται προς το παρόν ασφαλείς. Ωστόσο, θα πρέπει επίσης να αποφεύγεται η χρήση των bootcdn.net, bootcss.com, staticfile.net και staticfile.org σύμφωνα με τις πρόσφατες πληροφορίες.
Γενικά, προτείνεται η επανεξέταση των εξαρτήσεων από βιβλιοθήκες τρίτων σε υφιστάμενα έργα λογισμικού και η μείωση αυτών στο ελάχιστο δυνατό, ώστε να μειωθεί η επιφάνεια επίθεσης για πιθανές νέες επιθέσεις.
