Internetová bezpečnostná megadiera, servery Cloudflare prezrádzali citlivé dáta

Značky: bezpečnosťInternet

DSL.sk, 24.2.2017

V noci na dnes boli zverejnené informácie o vážnom bezpečnostnom probléme, ktorý sa síce týkal len serverov jednej služby ale pre svoju povahu ohrozil dáta užívateľov na mnohých tisíckach webov.

Bezpečnostný problém sa totiž nachádzal vo webových serveroch mimoriadne populárnej služby Cloudflare, ktorú používajú mnohé aj veľké weby ako Content Delivery Network poskytujúcu ich stránky z jej webových serverov.

Kvôli bezpečnostnej chybe v použitom parseri napísanom pomocou Ragel a spracúvajúcom webové stránky poskytované koncovým návštevníkom tieto webové servery vracali v stránke ďalšie dáta z pamäte webového serveru, ktoré mohli predstavovať dáta prenášané inými užívateľmi na ľubovoľných iných weboch tiež využívajúcich Cloudflare.

Aj keď sú weby prevádzkované na zabezpečených HTTPS stránkach, v pamäti webového servera sa už nachádzajú nešifrované a unikať takto mohli aj dáta z HTTPS stránok. V uniknutých dátach boli podľa Tavisa Ormandyho z Google, ktorý zraniteľnosť objavil, reálne identifikované heslá, cookie, rozličné dáta posielané cez formuláre, súkromné správy z populárnych služieb a napríklad zoznamovacích a chatovacích služieb a mnohé ďalšie dáta.

Chyba bola typu pretečenia buffera a parser kvôli nej nedetekoval koniec stránky, preskočil ho a návštevníkovi mohol okrem stránky poslať aj ďalšie dáta z pamäte webového servera nachádzajúce sa za bufferom. Chyba sa tak povahou podobá na chybu v OpenSSL Heartbleed a dostala prezývku Cloudbleed.

Uniknúť nemohli privátne kľúče jednotlivých klientských webov k SSL certifikátom, keď pre samotný prenos SSL využíva služba samostatné webové servery, v ktorých sa problém nevyskytoval.

Chyba sa prejavila pri parsovaní stránky s nekorektne ukončeným HTML elementom script alebo img a preto sa prejavovala len veľmi zriedka. Pri splnení tejto podmienky ju bolo možné zneužiť ale zrejme pomerne spoľahlivo.

Samotná chyba sa nachádzala v kóde už roky, donedávna sa ale vôbec neprejavovala. Prejavovať sa začala až keď bolo v použitom Nginx serveri aktivovaných pre danú HTTP požiadavku viacero filtrovacích modulov, čo sa prvýkrát stalo 22. septembra 2016. Častejšie boli dva moduly použité od nasadenia nového modulu 13. februára, pričom už 18. februára Ormandy nakontaktoval Cloudflare s informáciami o detekovanom probléme.

Príčiny problému boli detekované a odstránené do niekoľkých hodín, pričom prvý modul spôsobujúci najviac výskytov podľa časového harmonogramu bol globálne deaktivovaný do 47 minút od poskytnutia detailov problému od Google.

Cloudflare podľa svojho oznámenia nenašla dôkazy o zneužívaní chyby a dáta od 13. februára unikali v cca 0.00003% HTTP požiadaviek. Najvážnejším dôsledkom bolo nacachovanie týchto dát webovými vyhľadávačmi, v spolupráci s ktorými boli dáta pred zverejnením informácií odstránené.

V časovej zhode s oznámením problému v noci na dnes zároveň Google vyzýval mnohých užívateľov na mnohých zariadeniach na opätovné prihlásenie. Logicky vznikla hypotéza, že Google mohol zneplatniť prihlásenia napríklad účtov s OAuth autorizačnými tokenmi používanými webmi a aplikáciami využívajúcimi Cloudflare. Ormandy ale túto hypotézu vo svojom oznámení jednoznačne vyvracia, tieto dva problémy podľa neho spolu nesúvisia a dôvod potrebného opätovného prihlasovania do Google zatiaľ nie je známy.

Cloudflare informuje o detailoch chyby vrátane ukážky príslušného miesta kódu v oznámení problému, Google o zraniteľnosti informuje v tomto popise problému.

Ormandy chváli rýchlu reakciu služby pri riešení problému aj technický popis problému, služba podľa neho ale zľahčuje dopad problému a rizika na užívateľov. Oznámenie Cloudflare totiž zrejme nedporúča webom žiadne kroky ako napríklad povinnú zmenu hesla pre užívateľov prihlasujúcich sa v inkriminovanom čase. Zároveň takéto kroky zatiaľ zrejme nezvolila žiadna zo známejších služieb využívajúcich Cloudflare.




Najnovšie články:



inzercia



Diskusia:

kraken Od: jozoooo | Pridané: 24.2.2017 16:35 kraken ma vyzval na zmenu hesla, rozposielali email s predmetom "IMPORTANT: Security Alert". Odpovedať Známka: 10.0 Hodnotiť:

Re: kraken Od: MAJAK - neregistrovany | Pridané: 27.2.2017 14:39 cloudflare je predsa u.s. company tak co tam po bezpecnosti... aj tak to konci tam kde nechcete :) Odpovedať Hodnotiť:

vcera, dnes a zitra Od: Problem | Pridané: 24.2.2017 17:10 Včera bol deň, sa zapísal veľkými písmenami do dejín kryptografie. Dnes tu je zasa bezpečnostná megadiera. To tu už nikto nič negarantuje??? Odpovedať Známka: 9.0 Hodnotiť:

Re: vcera, dnes a zitra Od: Robert Fico | Pridané: 24.2.2017 17:23 ludia si zasluzia istoty Odpovedať Známka: 10.0 Hodnotiť:

Re: vcera, dnes a zitra Od: taglajf | Pridané: 27.2.2017 8:20 9mm olovenych istot Odpovedať Hodnotiť:

vulcano Od: syntaxterrorXXX | Pridané: 24.2.2017 17:44 Na odstranenie pochybnosti odporucam pochrumat polovicu obsahu tuby so sumivym celaskonom. Odpovedať Známka: 6.0 Hodnotiť:

Re: vcera, dnes a zitra Od: mackov ondrej | Pridané: 24.2.2017 20:37 chvejem sa, tolko zlych sprav, z toho naozaj mrazi. zajtra bude zasa aky pruser??!? ze sha2 ma kolizie iba pri 10^5000 pokusov??? ja uz nevladzem... :( Odpovedať Známka: 10.0 Hodnotiť:

Re: vcera, dnes a zitra Od: _mj | Pridané: 25.2.2017 10:27 Firám sa vyplatí šetriť na bezpečnosti a riešiť potom súdne spory, než si poriadne zabezpečiť servery. Vitajte v modernom internete! Odpovedať Známka: 5.0 Hodnotiť:

sales nebudet Od: 'PPQ' | Pridané: 24.2.2017 19:52 akoze kto normalny si cez taketo nieco da one? Odpovedať Známka: -7.8 Hodnotiť:

Re: sales nebudet Od: quix_ | Pridané: 24.2.2017 20:58 nepochybne Odpovedať Známka: 10.0 Hodnotiť:

A je tu prva sluzba ktora odporuca zmenit hesla Od: Maxmind | Pridané: 25.2.2017 9:20 SUBJECT: As a security precaution, please change your MaxMind account password BODY: Dear MaxMind customer, On February 23, Cloudflare announced a bug that caused certain traffic sent through their servers to leak from memory, potentially exposing sensitive data. MaxMind is a Cloudflare customer and uses their content delivery network for our primary website, GeoIP2 Precision JavaScript service, and GeoIP/GeoLite database download servers. This means that if you interacted with the MaxMind website, used the GeoIP2 Precision JavaScript API, or downloaded a database from us between September 22, 2016 and February 18, 2017, the associated activity could have leaked and been compromised. This includes usernames and passwords, license keys, and IP addresses for the website and database downloads and referrers and client IPs for the GeoIP2 Precision JavaScript API. As a precaution, we recommend that you login to your MaxMind account as soon as possible and change your password. Odpovedať Známka: 2.0 Hodnotiť:

Re: A je tu prva sluzba ktora odporuca zmenit hesla Od: Maxmind | Pridané: 25.2.2017 9:21 CONTINUE BODY: Cloudflare has informed us that they have no evidence that MaxMind data leaked into third-party caches. We also have no evidence that any MaxMind accounts were compromised, and traffic to our minFraud and GeoIP web services was unaffected as these services do not use Cloudflare servers. We are continuing to monitor the situation for any updates. You can read more about the Cloudflare bug on TechCrunch. Please get in touch with any questions. Regards, MaxMind Odpovedať Známka: 0.0 Hodnotiť:

uz ani hrat sa nemozem Od: iExploder | Pridané: 25.2.2017 10:29 aj discord to posielal Odpovedať Hodnotiť:

Pridať komentár