學生崩潰 Cloudflare beta 派對,重定向電子郵件,獲得漏洞賞金
一名丹麥道德黑客能夠不請自來地進入封閉的 Cloudflare 測試版,并發現了一個可能被網絡犯罪分子利用來劫持和竊取他人電子郵件的漏洞。
學生 Albert Pedersen 通過公司的漏洞賞金計劃報告了 Cloudflare 的嚴重漏洞,并獲得了 3,000 美元的獎金。他在周三的一篇文章中說,他在 12 月 7 日發現該漏洞后不久就向這家互聯網巨頭發出了警報。根據管理賞金計劃的 HackerOne 的時間表,Cloudflare 在幾天內修復了該漏洞。然而,直到 7 月 28 日,該漏洞才被公開披露,從而允許 Pedersen 在本月發布他的博客文章。
主要執行內容分發職責并為網站提供安全保護的 Cloudflare 于 2021 年 9 月宣布了其電子郵件路由服務,最初作為私有測試程序提供。該服務于 2 月進入公開測試階段,允許客戶為其域創建和管理自定義電子郵件地址,并讓他們將郵件重定向到特定地址。
Pedersen 面臨的第一個挑戰是進入這個私人測試版。
“當我發現這個漏洞時,Cloudflare 電子郵件路由處于封閉測試階段,只有少數域被授予訪問權限,”Pedersen 寫道。“可悲的是,我沒有被邀請參加聚會,所以我只能把它搞砸了。”
他通過操縱從 Cloudflare 的后端服務器發送到在他的瀏覽器中打開的 Cloudflare 儀表板的數據來進入程序。他寫道,他使用在他的計算機上運行的 Burp 套件“攔截響應并將 'beta': false 替換為 'beta': true ,這使得儀表板認為我已經獲得了對 beta 的訪問權限。”
進入后,他為他的一個域設置了電子郵件路由,以便將發送到該域的自定義地址(例如 albert@example.com)的電子郵件路由到他的個人 Gmail 地址。
此時,他的域已列在他的主要 Cloudflare 帳戶中,經過驗證,并且電子郵件路由設置和工作正常。通過驗證,我們的意思是域的 DNS 記錄的配置方式使互聯網巨頭對其擁有或至少管理該域感到滿意。驗證很重要,因為沒有它,您將無法啟用域的功能,因為您可能無權管理域。
然后,他想知道如果將他的域添加到他的輔助 Cloudflare 帳戶會發生什么,而該域沒有經過驗證。當然,應該不可能為它設置電子郵件路由,并將發送到該域的電子郵件重定向?當然,他可以。
“我假設 Cloudflare API 會進行服務器端檢查并拋出錯誤,告訴我驗證區域,或者我的惡意配置根本不會生效,”他在電子郵件采訪中告訴The Register 。但是它并沒有拋出錯誤,并且確實生效了。
“后者就是現在的運作方式,”他補充道。“您可以在未經驗證的區域上設置電子郵件路由,但在您驗證域的所有權之前,配置不會生效。”
將未經驗證的域添加到他的輔助帳戶后,Pedersen 為其打開了電子郵件路由,并將他設置的原始電子郵件地址 albert@example.com 配置為重定向到一個不是他個人 Gmail 的電子郵件地址。在此之后,他向 albert@example.com 發送了一條消息,該消息最終進入了惡意目的地的收件箱,而不是他的 Gmail。
實際上,他通過簡單地將域添加到另一個未經驗證的帳戶來劫持 albert@example.com,并指示 Cloudflare 應該將消息傳遞給 albert@example.com。
“我懷疑 Cloudflare 的郵件服務器只為每個地址保留一條記錄,并且當我應用我的惡意設置時,它只是被覆蓋了,”他在博客中寫道。
利用該漏洞的犯罪分子可以通過將陌生人的域添加到攻擊者的帳戶并將郵件轉發到惡意目的地來接收發送到陌生人地址的消息——如果陌生人已經在使用 Cloudflare,則該域已得到驗證,并且其電子郵件路由已配置.
佩德森寫道:“這不僅是一個巨大的隱私問題,而且由于密碼重置鏈接通常會發送到用戶的電子郵件地址,不良行為者還可能控制與該電子郵件地址相關的任何帳戶。” ,并補充說它為使用雙因素身份驗證創造了一個很好的論據。
他指出,當他注意到安全漏洞時,大約有 600 個域在使用封閉測試服務,如果有不良行為者進入并利用該漏洞,所有這些域的電子郵件都可能被劫持。
Cloudflare 在給The Register的一份聲明中表示,在漏洞被報告后,它解決了問題并驗證了該漏洞未被利用。電子郵件路由仍處于公開測試階段。
該公司還強調了漏洞賞金計劃的重要性。它已經有自己的幾年了,包括在 2018 年創建的一個私人項目。2 月,Cloudflare 宣布了一個由 HackerOne 托管的付費公共項目,并將 Pedersen 列為其前 10 名研究人員。
Pedersen 在他的 LinkedIn 個人資料中將自己描述為“Cloudflare 愛好者”。他告訴The Register,他是 Cloudflare 社區 MVP,他說他是一名計劃志愿者成員,為社區論壇做出重大貢獻并回答其他用戶的問題。他說他將一系列 Cloudflare 產品用于業余項目;他的博客網站托管在 Cloudflare Pages 上。
Pedersen 目前是丹麥 Skive 學院的一名學生,雖然他還沒有決定畢業后要做什么,但他現在喜歡找蟲子。他在 2021 年 4 月發現了他的第一個錯誤。
