Bezpečnostní průser: Cloudflare rozesílal útržky soukromých dat webů, které jej použivají

24. 2. 2017 08:57:42

Zázračná proxy, cache a firewall zdarma Cloudflare obsahovala chybu, která nevědomky rozesílala útržky dat - tedy cookies, formulářových dat, hesel i HTTPS požadavků - společně se servírovaným HTML. Tyto útržky nejen viděli cizí lidé a stroje, ale některé se i uložily v cachích napříč internetem. Chyby si všiml bezpečnostní pracovník Google přímo ve výsledcích vyhledávání.

Chyba rozstřikovala data v období mezi 22.9.2016 až 18.2.2017.

Původní bug

1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory…

Oznámení Cloudflare

Incident report on memory leak caused by Cloudflare parser bug

Co to znamená pro nás?

Změňte hesla, klíče k API a další sdílená tajemství u všech účtů na všech webech obsluhovaných pomocí Cloudflare
Pokud sami používáte Cloudflare na svých webech, vyresetujte všem uživatelům hesla a podívejte se do historie na podezřelou aktivitu

Velké weby za Cloudflare:

Digitalocean.com

Reddit.com

Stackoverflow.com

Namecheap.com

Patreon.com

Medium.com

4chan.org

Coinbase.com

Větší seznam zde

GitHub - pirate/sites-using-cloudflare: List of domains using Cloudflare…

Webtrh Cloudflare nepoužívá.

24. 2. 2017 08:57:42

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262298

node

(5 hodnocení)

24. 2. 2017 09:35:54

The greatest period of impact was from February 13 and February 18 with around 1 in every 3,300,000 HTTP requests through Cloudflare potentially resulting in memory leakage (that’s about 0.00003% of requests).

meh

24. 2. 2017 09:35:54

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262297

(20 hodnocení)

24. 2. 2017 09:41:49

no, at to bylo jakkoliv velke, tak i tak to je docela pruser :))

24. 2. 2017 09:41:49

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262296

Martin Schlemmer

(36 hodnocení)

24. 2. 2017 10:03:24

Hehe, node, koukám, že na tebe to číslo zafungovalo přesně, jak autoři zamýšleli. "Meh"

Přečti si, co všechno lidi na Hacker News nacházejí přes Google

https://news.ycombinator.com/item?id=13718752

Interní certifikát Cloudflare, klíče k API, sdílená tajemství pro oAuth2... A to všechno přes fakt, že tým Googlu ta data už týden (od prvního nahlášení) čistí a ty výsledky maže i teď diskutujícím pod rukama (30 minut po odeslání už vrací jen 404).

Data ale zůstávají ve stovkách tisících cachí a v databázích všech ostatních crawlerů, veřejných i neveřejných. Google to z vlastní vůle maže? Nevadí. Zeptej se Bingu, Baidu, DuckDuckGo...

Pro firmy nakládající například se zdravotními daty (HIPAA) znamená použití Cloudflare konec podnikání.

Nenech se zmást zdánlivě malým procentem. Toto je jeden z největších bezpečnostních průserů v dějinách internetu.

24. 2. 2017 10:03:24

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262295

TomasX

(4 hodnocení)

24. 2. 2017 10:19:57

jedná se o pravděpodobně častou chybu, kdy v C alokuji nějaký blok dat, uložím do něj menší hodnotu a na výstup předám celý blok. Zabránit se tomu dá buď nulováním uvolněných hodnot nebo na výstup předávat pouze bonded string. Překvapilo mě, že tím cloudfare trpí, hodně překvapilo.

Stejné chování lze třeba nasimulovat v php, kdy si alokuji velké pole a poté si z něho vypíšu hodnoty ikdyž jsem tam žádné neuložil, výstup je na první pohled náhodný, ale prakticky obsahuje data z předchozích běhů php nebo ještě hůře z jiných aplikací (platí pro php 5.x, hlásil jsem několikrát jako bug a snad v 7 je opraveno).

Nginx či jiné proxy mají tenhle problém ošetření, u freebsd či jiných systému, které mohou na výstup předávat ukazatel na data je to velice rizikové a aplikace na to musí myslet. V případě bankovních systému, kontrola na "náhodná data na výstupu" patří mezi penetrační testy.

---------- Příspěvek doplněn 24.02.2017 v 10:21 ----------

souhlas s tím, že se jednu o obrovský průser, je otázka jak dlouho to takhle funguje, mám pocit, že vloni, když jsme předávali jeden velký projekt nad cloudfare, tahle kontrola proběhla.

24. 2. 2017 10:19:57

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262294

Webtrh obecný účet

(1 hodnocení)

24. 2. 2017 10:32:42

Již párkrát jsem měl chuť, ze zvědavosti, vyzkoušet Cloudflare.

Avšak poslední dobou (až rok zpětně) nefungoval, jak měl. Občas mi házel 404, tedy web jel, ale zaseklo se to na Cloudflare, takže na stránky se nešlo dostat.

24. 2. 2017 10:32:42

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262293

TomasX

(4 hodnocení)

24. 2. 2017 13:35:04

ItSnowsInHellAgain: to spíše bylo způsobeno tím, že provozovatel stránek nechtěl zaplatit za vyšší kapacitu nebo mu jeho servery dobře neodpovídaly. Mysli na to, že cloudfare je brána, proxy a že aby obsloužila požadavek, musí občas kontaktovat hosting, kde daný web běží a to se může zaseknout.

Osobně s jejich službami mám dobré zkušenosti (až na tenhle průser).

24. 2. 2017 13:35:04

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262292

tomve

(22 hodnocení)

24. 2. 2017 14:40:12

ha, nejdřív sha-1, ted tohle

btw https://github.com/pirate/sites-using-cloudflare

24. 2. 2017 14:40:12

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262291

Martin Schlemmer

(36 hodnocení)

24. 2. 2017 14:58:24

Ten odkaz jsem už uvedl v prvním příspěvku.

24. 2. 2017 14:58:24

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262290

Petr Soukup

(5 hodnocení)

24. 2. 2017 18:22:10

Na druhou stranu... Cloudflare používáme (na extra doméně jen pro statický obsah) a funguje naprosto špičkově. Přešli jsme postupně mezi 6ti různými CDN včetně vlastního řešení a tohle funguje zkrátka nejlíp.

Je to mega fail, ale je to zkrátka bug, který může vzniknout (podobný byl přece v samotném openssl roky). Postavili se k tomu profesionálně a určitě se dlouho nic takového neobjeví. Je to zkrátka daň za to, jak šíleně rychlý vývoj mají - zatímco jinde teprve nasazují HTTP/2, tak Cloudflare už frčí na TLS 1.3

24. 2. 2017 18:22:10

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262289

TomasX

(4 hodnocení)

25. 2. 2017 14:38:28

reakce cloudfare je ukázková. Problém vyvolaly nevalidní html stránky a zapnutí jejich nového tranformačního modulu (upravují html za běhu), který již nepoužíval interní nginx buffery, ale svoje a bez ochrany k přetečení. Tuhle chybu měly zarazit jejich interní testy a měli lépe testovat svoje aplikace s fuzzy daty, slibují, že se z toho poučí.

Za mě za vše může špatný návrch aplikace, oni si v custom nginx modulech řešili naprosto vše vč. šifrovaného spojení k sobě (unikly i jejich klíče do vnitřní sítě) a stačila k tomu jedna logická chyba v aplikaci a nulová kontrola u přístupu k paměti.

Podle mě to není daň za rychlý vývoj, ale za neoddělení aplikační logiky. Jsem rád, že se rozpovídali o systémovém řešení, chtěl jsem podobně řešit také jednu aplikaci a teď vím, že prostě nginx je bezpečný jen pokud do něj necpu další svůj aplikační kód.

V cloudfare nejsou amatéři, jejich úpravy do nginx, které poslali jsou skvělé a oni stáli za poměrně rychlým nasazením http/2 do nginx, buďme za to rádi.

25. 2. 2017 14:38:28

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262288

Jiří Šubr

(23 hodnocení)

27. 2. 2017 09:37:22

...

27. 2. 2017 09:37:22

https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji#reply1262287

TomasX

(4 hodnocení)

27. 2. 2017 09:51:34

pokud jsi se v té době přihlašoval na některou z těch služeb, tak ano, jinak se stačí pro jistotu přihlásit/odhlásit.