嚴重漏洞暴露了CloudFlare背后數百萬站點的敏感數據
CloudFlare是一家內容交付網絡(CDN)和網絡安全提供商,幫助優化互聯網上超過550萬個網站的安全和性能。該公司正在警告其客戶可能暴露了一系列敏感信息的嚴重漏洞,包括密碼、用于驗證用戶身份的cookie和令牌。
配音云出血,這個令人討厭的缺陷以2014年發現的Heartbleed bug命名,但據信比Heartbleed更嚴重。
該漏洞非常嚴重,不僅會影響CloudFlare網絡上的網站,還會影響移動應用程序。
“Cloudbleed”到底是什么,它是如何工作的,你是如何受到這個bug的影響的,以及你如何保護自己?讓我們想想。
什么是Cloudbleed?
Cloudbleed是Cloudflare Internet infrastructure服務中的一個主要缺陷,它導致Cloudflare背后托管的網站的私密會話密鑰和其他敏感信息泄露。該漏洞是由Google Project Zero security研究員塔維斯·奧曼迪(Tavis Ormandy)在一周前發現的。
CloudFlare充當用戶和web服務器之間的代理,它為位于其全球網絡后面的網站緩存內容,并通過通過CloudFlare的邊緣服務器解析內容以實現優化和安全性,從而減少對原始主機服務器的請求數。
大約一周前,Ormandy發現Cloudflare的邊緣服務器存在緩沖區溢出問題,這些服務器運行時超過了緩沖區的末尾,正在返回包含HTTP cookie、身份驗證令牌和HTTP帖子正文等私有數據的內存,搜索引擎已經緩存了一些泄漏的數據。
以下是Cloudbleed的嚴重程度:
奧曼迪在周四發布的一篇博文中寫道:“我發現來自主要約會網站的私人消息、來自知名聊天服務的完整消息、在線密碼管理器數據、來自成人視頻網站的幀、酒店預訂”。“我們討論的是完整的HTTPS請求、客戶端IP地址、完整響應、cookie、密碼、密鑰、數據等等”。
據奧曼迪稱,Cloudflare在其“ScrapeShield”功能中有類似的代碼:int Length=ObfuscateEmailAddressesInHtml(&;OutputBuffer,CachedPage);寫入(fd、輸出緩沖區、長度);
但該公司沒有檢查混淆解析器是否因為惡意HTML而返回負值。
Cloudflare的“ScrapShield”功能解析并模糊HTML,但由于反向代理在客戶之間共享,它將影響所有Cloudflare客戶。
奧曼迪聯系了Cloudflare并報告了他的發現。該公司確定了問題的原因,并立即禁用了3個小型Cloudflare功能;電子郵件混淆,服務器端排除,以及自動HTTPS重寫;它們使用相同的HTML解析器鏈,這導致了泄漏。
奧曼迪觀察到其他用戶對其他主要Cloudflare托管網站的加密密鑰、密碼、cookie、帖子數據塊和HTTPS請求,并立即聯系了Cloudflare。
由于CloudFlare修復了該問題,但在周三之前沒有通知客戶數據泄漏問題,Ormandy在周四公布了他的發現,遵循Project Zero針對主動攻擊的七天政策。
在奧曼迪周四公開披露該漏洞后,CloudFlare確認了該漏洞,確保其客戶的SSL私鑰沒有泄露。
Cloudflare首席技術官約翰·格雷厄姆·卡明(John Graham Cumming)在一篇博客文章中寫道:“Cloudflare總是通過一個不受此漏洞影響的NGINX孤立實例終止SSL連接”。“這個漏洞很嚴重,因為泄露的內存可能包含私人信息,而且已經被搜索引擎緩存”。
“我們現在披露這個問題,因為我們對搜索引擎緩存中的敏感信息已經被清除感到滿意,”他補充道。“我們還沒有發現任何惡意利用該漏洞的證據,也沒有發現其他關于該漏洞存在的報告”。
Cloudbleed的根本原因是:
Cloudbleed漏洞的根本原因是“使用相等運算符檢查是否到達緩沖區的結尾,指針能夠跨過緩沖區的結尾”。
不是跳過緩沖區端進行檢查,就會被捕獲,”卡明說。
Cloudflare還確認,影響最大的時期是2月13日至2月18日,通過Cloudflare的每3300000個HTTP請求中幾乎有一個可能導致內存泄漏,約占請求的0.00003%。
然而,研究人員辯稱,DNS提供商是兩面派,聲稱基于谷歌緩存的數據,Cloudbleed漏洞已經存在數月了。
Cloudbleed對你有什么影響?
有大量Cloudflare的服務和網站使用解析HTML頁面,并通過Cloudflare的邊緣服務器對其進行修改。
即使您不直接使用CloudFlare,也不意味著您可以幸免。你訪問的網站和使用的網絡服務總是有可能受到影響,從而泄露你的數據。
當然,如果您在站點前面使用Cloudflare服務,該漏洞可能會影響您,從而暴露通過Cloudflare代理在服務器和最終用戶之間流動的敏感信息。
雖然CloudFlare的服務很快修復了這個漏洞,并表示實際影響相對較小,但在此之前數據一直在泄漏;好幾個月了。
其中一些泄露的數據被公開緩存在谷歌、必應、雅虎等搜索引擎中,這些搜索引擎現在已經刪除了這些數據,但DuckDuckGo等一些引擎仍然保存著這些數據。
此外,其他泄露的數據可能存在于整個網絡的其他服務和緩存中,不可能在所有這些位置刪除。
Cloudbleed也會影響移動應用
Cloudbleed也會影響移動應用程序,因為在很多情況下,這些應用程序被設計為使用與瀏覽器相同的后端來進行內容交付和HTTPS(SSL/TLS)終止。
YCombinator上的用戶通過使用目標搜索詞搜索DuckDuckGo緩存,確認了Discord、FitBit和Uber等應用程序中存在HTTP頭數據。
在NowSecure進行的一項分析中,研究人員從app store上約3500個最受歡迎的應用抽樣中發現了約200個經鑒定使用Cloudflare服務的iOS應用。
總有可能有人在Tavis之前發現這個漏洞,并且可能一直在積極利用它,盡管沒有證據支持這個理論。
受該漏洞影響的Cloudflare的一些主要客戶包括Uber、1Password、FitBit和OKCupid。然而,在1Password發布的一篇博文中,該公司向用戶保證,由于該服務在傳輸過程中進行了加密,因此不會暴露任何敏感數據。
然而,一位名為“海盜”的用戶在GitHub上發布了一份可能受到該漏洞影響的網站列表,其中還包括CoinBase、4Chan、BitPay、DigitalOcean、Medium、ProductHunt、Transferwise、海盜灣、Extra Torrent、BitDefender、Pastebin、Zoho、Feedly、Ashley Madison、Bleeping Computer,登記冊等等。
由于CloudFlare尚未提供受影響服務的列表,請記住,這不是一個全面的列表。
對于Cloudbleed bug,你應該怎么做?
強烈建議在線用戶重置所有帳戶的密碼,以防在每個網站上重復使用相同的密碼,并在清理過程中密切監視帳戶活動。
此外,建議在網站上使用Cloudflare的客戶強制更改所有用戶的密碼。
更新:優步代表通過電子郵件聯系我,說他們的調查顯示CloudBleed漏洞沒有暴露客戶的密碼。以下是優步提供的聲明:
“實際上,很少有Uber流量通過Cloudflare,因此只涉及了少數代幣,并且后來被更改。密碼沒有公開”。
與此同時,DuckDuckGo發言人也聯系到了黑客新聞,并表示搜索引擎已經從DuckDuckGo刪除了泄露的數據。
