Problemă de securitate Cloudflare, expunere majoră de date!
Cloudflare, un serviciu care ajută la securizarea și performanța site-urilor și care este folosit de aproximativ 5,5 milioane de clienți, a avertizat toți clienții de o problemă de software care a expus o parte din datele secrete (parole, cookies și token-uri) ale clienților.
Această problemă era activă încă din Septembrie 22, iar după 5 luni a fost descoperită. O mare parte din datele secrete expuse, au fost memorate în cache de către Google și alte motoare de căutare. Rezultatul, cât timp această problemă era activă, hackerii au avut abilitatea de a accesa aceste date în timp real prin „Web requests” site-urilor afectate, și să acceseze o parte din datele expuse mai târziu prin querry.
[one_half]EN: The bug was serious because the leaked memory could contain private information and because it has been cached by search engines.[/one_half]
[one_half_last]RO: Acest bug (problemă) a fost serios pentru că informația expusă putea să conțină informații private și pentru că a fost adaugată în memoria cache de motoarele de căutare.[/one_half_last]
Cloudflare CTO John Graham-Cumming a scris în blog.
[one_half]EN: We are disclosing this problem now as we are satisfied that search engine caches have now been cleared of sensitive information. We have also not discovered any evidence of malicious exploits of the bug or other reports of its existence.[/one_half]
[one_half_last]RO: Noi dezvăluim această problemă acum deoarece suntem mulțumiți că datele din memoria cache au fost șterse. De asemenea, nu am descoperit nici o dovadă a unui exploit în legătură cu aceasta problemă.[/one_half_last]
Expunerea a fost rezultatul unui interpretor de HTML care modifica paginile Web când acestea erau transmise către servere. Acesta interpretor efectuează o multitudine de sarcini, cum ar fi înserarea tag-urilor pentru Google Analytics, conversia link-urilor HTTP în HTTPS, ascunderea adreselor mail și excluderea unor bucăți din pagini pentru a nu fi văzute de boți cu intenții rele. Când interpretorul folosea o combinație de 3 caracteristici (ascundere mail, server-side Cusexcludes și rescriere HTTPS), se crea o expunere aleatorie a conținutului în anumite răspunsuri HTTP.
Într-o oră de când Cloudflare a aflat de această problemă, au oprit ascunderea de mail-uri. După alte 6 ore, în care Cloudflare au gasit problema și au reparat-o.
Acestă expunere de date a fost văzută de către Tavis Ormandy, un angajat de la Google, în timp ce lucra la un proiect.
Ormandy:
EN:
A while later, we figured out how to reproduce the problem. It looked like that if an html page hosted behind cloudflare had a specific combination of unbalanced tags, the proxy would intersperse pages of uninitialized memory into the output (kinda like heartbleed, but cloudflare specific and worse for reasons I’ll explain later). My working theory was that this was related to their „ScrapeShield” feature which parses and obfuscates html – but because reverse proxies are shared between customers, it would affect *all* Cloudflare customers.
We fetched a few live samples, and we observed encryption keys, cookies, passwords, chunks of POST data and even HTTPS requests for other major cloudflare-hosted sites from other users. Once we understood what we were seeing and the implications, we immediately stopped and contacted cloudflare security.This situation was unusual, PII was actively being downloaded by crawlers and users during normal usage, they just didn’t understand what they were seeing. Seconds mattered here, emails to support on a friday evening were not going to cut it. I don’t have any cloudflare contacts, so reached out for an urgent contact on twitter, and quickly reached the right people.
Could someone from cloudflare security urgently contact me.
— Tavis Ormandy (@taviso) February 18, 2017
After I explained the situation, cloudflare quickly reproduced the problem, told me they had convened an incident and had an initial mitigation in place within an hour.
„You definitely got the right people. We have killed the affected services”
RO:
Puțin mai târziu, am descoperit cum să reproducem acestă problemă. Părea că o pagină HTML hostată la Cloudflare avea o combinație specifică de tag-uri nebalansate, proxy-ul interpreta paginile ca și cum paginile erau o memorie neinițializată. Teoria mea este că problema avea de a face cu al lor „ScrapeShield” care parsa și ascundea HTML – dar pentru că proxy-urile sunt comune ăntre clienți, afecta abosulot toți clienții.Am luat câteva exemple, și am observat cheile de incripție, cookie-urile, parolele, bucăți din datele POST și chiar și cereri HTTPS. Odată ce am înțeles ceea ce vedeam și implicațiile, am contactat imediat Cloudflare.
Situația era neobișnuită, PII era downloadată de către boții Crawler și de utilizatori în condiții normale, ei doar nu înțelegeau ceea ce vedeau. Secundele erau importante, email-uri către support într-o zi de Vineri seara nu ajuta. Nu am niciun contact cu Cloudflare, am folosit twitter pentru a raporta problema, care a ajuns unde trebuia.
Could someone from cloudflare security urgently contact me.
— Tavis Ormandy (@taviso) February 18, 2017
După ce am explicat problema, Cloudflare a reprodus problema, mi-au spus că au convocat un incident și a avut un miting într-o oră.
„Ai cu siguranță oamenii potriviți. Ne-am închis serviciile afectate”
Într-un mesaj Twitter, Ormandy a anunțat clienții Cloudflare afectați inclusiv Uber, 1Password, Fitbit, si OKCupid. 1Password a declarat într-un articol de blog că nu există date sensibile expuse, pentru că au fost criptate în tranzit.