Der Angriff auf die polyfill.io-Domäne

Die jüngste Kompromittierung der Domain polyfill.io hat einen weitreichenden Angriff auf die Web-Supply-Chain ausgelöst, von dem über 100.000 Websites in verschiedenen Sektoren betroffen sind, darunter Finanzen, Gesundheitswesen, gemeinnützige Organisationen, Hochschulen und mehr. Um die Sicherheit Ihrer Website zu gewährleisten, raten wir Ihnen dringend, jeden Verweis auf polyfill.io sofort zu entfernen.

---

Letzte Aktualisierung: 27. Juni 2024

Sansec, ein führendes Unternehmen im Bereich der Malware- und Schwachstellenerkennung, hat das folgende Update veröffentlicht:

Namecheap hat nun den Status der Domain auf clientHold gesetzt, was bedeutet, dass sie im DNS nicht mehr aktiv ist und somit das aktuelle Risiko beseitigt ist.
– Cloudflare hat einen automatischen JavaScript-URL-Rewriting-Service gestartet, der jeden Link zu polyfill.io, der in Proxy-Websites gefunden wird, auf seine eigene Version unter cdnjs umleitet. Dadurch wird die Funktionalität der Website sichergestellt und das Risiko von Angriffen auf die Lieferkette verringert.
– polyfill.io muss immer noch aus Ihrem Besitz entfernt werden, aber seien Sie sich des Risikos von Unterbrechungen bewusst und stellen Sie sicher, dass Sie einen Ersatz verwenden. Sie können Alternativen bei Cloudflare und Fastly finden.

---

Der Polyfill.io-Kompromiss

Der Begriff „Polyfill“ wird häufig verwendet, um Bibliotheken zu beschreiben, die dabei helfen, Inkonsistenzen zwischen verschiedenen Webbrowsern zu beheben, insbesondere bei älteren Browsern, in denen keine Spitzentechnologien verfügbar sind. Obwohl polyfill.io nicht direkt mit dem Konzept zusammenhängt, wurde es zu einer vertrauenswürdigen Quelle für das Auffinden und Hinzufügen dieser Polyfills.

Die Domain polyfill.io wurde im Februar 2024 an ein chinesisches Unternehmen, Funnull, verkauft. In der Folge wurde festgestellt, dass polyfill.io anfing, bösartigen Code in seine Skripte einzuschleusen, so dass jeder, der eine Website unter dieser Domain besuchte, unwissentlich Malware in seinem Browser ausführen konnte.

Der über cdn.polyfill.io eingeschleuste bösartige Code ist ausgeklügelt und erzeugt dynamisch Nutzdaten auf der Grundlage von HTTP-Headern. Er wird nur auf bestimmten mobilen Geräten aktiviert, um einer Entdeckung zu entgehen, indem er Administrator-Benutzer umgeht und die Ausführung verzögert. Websites, die die kompromittierten Skripte einbetten, können Besucher versehentlich auf bösartige Websites umleiten und sie so weiteren Risiken aussetzen, wie z. B. gefälschten Google Analytics-Links, die zu zweifelhaften Zielen führen.

Google hat Warnungen über das Laden von JavaScript von Drittanbietern von Domains wie polyfill.io verschickt und blockiert jetzt Google Ads für Websites, die den kompromittierten Code verwenden.

Wir empfehlen, alle Verweise auf polyfill.io aus Nachlässen zu entfernen, da die Domäne ein potenzielles Risiko darstellt.

Identifizierung betroffener Red Sift-Kunden

Unser Headless Browser, der Teil von Red Sift ASM ist, führt täglich eine vollständige Überprüfung aller Websites durch, die im Besitz unserer Kunden sind. Wir zeigen dann die Technologien, Bibliotheken und Dienste von Drittanbietern an, die von der Website verwendet werden, einschließlich Polyfill, zusammen mit allen Domänen, die im HTML der Seite gefunden werden, auf der diese basieren. Diese Informationen werden auch in unseren Mixed-Content-Prüfungen verwendet.

Anhand dieser Informationen konnten wir schnell alle Konten unserer Kunden überprüfen und die Websites mit dem kompromittierten Domainnamen identifizieren. Unser Customer Success Team hat dann jeden betroffenen Kunden persönlich benachrichtigt.

Was Sie jetzt tun sollten

Um die Sicherheit Ihrer Website zu gewährleisten, raten wir Ihnen dringend, jeden Verweis auf polyfill.io sofort aus Ihrem Besitz zu entfernen.

Sollten Sie Alternativen für Polyfill-Hosting benötigen, finden Sie diese bei Cloudflare und Fastly.

Wie Red Sift dabei hilft, diese Angriffe kontinuierlich und proaktiv zu verhindern

Wie bereits erwähnt, ist Red Sift ASM bereits in der Lage, Technologien, Bibliotheken und Dienste von Drittanbietern, einschließlich Domains, zu erkennen, so dass Kunden schnell feststellen können, wenn bösartige Technologien und damit verbundene Assets Teil ihrer externen Angriffsfläche sind.

Diese Fähigkeit bedeutet auch, dass wir schnell reagieren können, um Warnungen über gefährliche Aktivitäten zu Red Sift hinzuzufügen. Ab heute können Red Sift ASM-Kunden:

1) Ein Problem wird erstellt, wenn die vergiftete Domain polyfill.io irgendwo in ihrem überwachten Bereich gefunden wird. Das Problem erklärt den Grund für die kritische Warnung und die Schritte, die erforderlich sind, um das Risiko aus dem Bestand zu entfernen.

2) Sie sehen eine Warnung in unserem Mixed Content Check, wenn die vergiftete Domain polyfill.io irgendwo in ihrem überwachten Bereich gefunden wird.

Schützen Sie sich jetzt

Wenn Sie mehr über Red Sift ASM erfahren möchten und darüber, wie es Ihnen dabei helfen kann, diese Art von Bedrohungen stets im Griff zu behalten, sollten Sie eine Demo buchen. Wenn Sie in der Zwischenzeit Fragen haben oder Unterstützung benötigen, kontaktieren Sie uns bitte.

Source: Red Sift-Blog