Cloudflare泄露用戶信息長達數月:系「編程錯誤」導致
Cloudflare是一家位於美國的網路安全服務商,為包括Uber(優步),Fitbit,1password等在內的眾多公司提供網站安全管理,性能優化等服務。近日,Google安全人員在研究中發現:某些情況下,Cloudflare的系統可能會將伺服器內存中的數據(包括cookie,API密鑰和用戶密碼等)泄露到網頁中——這可謂是數據泄漏的大事。由於會讓人回憶起當年OpenSSL的「
心臟滴血」(
點擊閱讀原文查看
)事件,也有評論將這次事件稱作「雲出血(cloudbleed)」。
這就意味著:當用戶訪問由Cloudflare提供支持的網站時,可能隨機獲取到他人網路會話(session)中的敏感信息——好比你在一家餐廳里剛剛就座,服務員不僅給你遞上了菜單,還贈送了其他某個倒霉客人的錢包。沒錯,這位服務員就受雇於Cloudflare。
無意發現
這一問題是由Google Project Zero安全團隊(該團隊似乎長時間專註於漏洞發掘,我們曾前不久報道過他們公布了一個影響Windows GDI庫的漏洞)的漏洞獵人(bughunter,也就是國內的白帽子)Tavis Ormandy首先發現的。當時他在搞一個業餘項目,無意間在Google搜索引擎的緩存頁面中發現了包含完整的https請求,cookie,API密鑰和密碼在內的大量數據。經過確認後他通知了Cloudflare,後者則迅速成立了團隊調查此事。
在一開始,Ormandy懷疑是Cloudflare一款叫做ScrapeShield的應用程序(該程序本是設計用來防禦爬蟲大量複製網站信息)引發了數據泄露(
閱讀原文查看Ormandy發布的公告
),並在推特上表示他發現了來自各大交友網站的私密信息,知名聊天服務網站的信息和在線密碼管理器的數據等。
後來隨著Cloudflare調查的深入,他們發現事情並沒有那麼簡單——這種情況已經悄無聲息地持續幾個月了。
罪魁禍首
Cloudflare在上周四公布的一份報告(
點擊閱讀原文查看
)中給出了調查結果:該事件是由一個編程錯誤引起,主要體現在Email Obfuscation、Server-Side Excludes和Automatic HTTPS Rewrites這三個功能上。
原來,在此之前Cloudflare曾為其邊緣伺服器開發一個新的HTML解析器。該解析器用Ragel(一種有限狀態機編譯器)編寫,後轉換成C語言源碼。這段代碼存在一個緩衝區溢出漏洞,可由網頁上不成對的HTML標籤觸發,本是作為指針檢查機制來防止內存覆蓋的。(如下)
某些情況下,p可能會大於pe,從而避開長度檢查,造成緩衝區數據溢出,最終引起了上文所述的信息泄露。Cloudflare工程主管John Graham-Cumming在調查報告中總結道:
「這個問題的根源在於,緩衝區末端檢查使用了相等運算符(==),導致指針可以跳過這一段。如果能使用>=而不是==,那麼至少可以發現跳過緩衝區尾部的事件。」
另據補充,要致使數據泄露,最後的緩衝區必須以格式錯誤的腳本或img標籤結尾,長度不能超過4KB(否則Nginx會崩潰),並運行上述函數。
為時已晚?
通常此類泄露的信息會隱藏在網頁源碼中,並不引人注意。這次Ormandy在Google緩存頁面中發現了這個問題,意味著很可能在此之前一段相當長的時間裡,已經有大量信息被分散泄露到各處,比如爬蟲程序,甚至不法分子的手裡。
這裡簡要回顧一下Cloudflare官方報告中給出的時間線:
去年9月22日,啟用Automatic HTTP Rewrites函數
今年1月30日,Server-SideExcludes移至新的解析器
今年2月13日,EmailObfuscation部分移至新解析器
今年2月18日,Google向Cloudflare通報了此情況
可以看出,早期的數據泄露事件可能在去年9月就開始了。官方認為,受到衝擊最大的時間段可能在今年2月13日開始的4天內,因為當時Automatic HTTP Rewrites還沒有開始廣泛使用,Server-Side Excludes也只針對惡意IP地址。
不過好在Cloudflare事發後的應對也很迅速。他們在接到通報的47分鐘內就禁用了Email Obfuscation。三個小時後,對Automatic HTTPS Rewrites採取了同樣的措施。不過對於Server-Side Excludes的終止卻稍顯棘手,Cloudflare表示他們已經專門發布了一個補丁針對此事。
GitHub
(
閱讀原文查看
)上已經發布了可能受此漏洞影響的網站名單,對於後續更大範圍的補救措施,相信Cloudflare正在落實中。目前尚未有確切的大規模數據以此種途徑被不法分子利用的報道,希望一切還不會為時太晚。*參考來源:TheRegister,FB小編cxt編譯,轉載請註明來自FreeBuf.COM
※【FB TV】一周「BUF大事件」:Google研究人員宣布完成全球首例SHA-1哈希碰撞;新曝晶元漏洞,可使ASLR保護失效
※往水裡投毒?解析針對工業控制系統的勒索攻擊
※雖然SHA-1遭遇碰撞攻擊,但「天還沒塌」
TAG:FreeBuf |
※A$AP Rocky、Lil Uzi Vert 與 Metro Boomin 長達五分鐘的「Freestyle 畫面」釋出
※大眾造長達6米的神車California XXL
※潛伏長達11年之久的Linux內核漏洞」Phoenix Talon」曝光
※這副由 Porsche Design 和 KEF 聯合推出的無線耳機能提供長達 30 小時的聆聽體驗
※新版7英寸Kindle Oasis可防水 電池續航長達6周
※BioWare透露新作《聖歌Anthem》開發時間已長達5年之久 其構思部分來自《質量效應》系列
※聯想發布SmartVest智能心電衣 續航長達兩周
※以「催眠」繞過認證:一個影響Kerberos協議長達20年的漏洞
※希捷宣布推出Game Pass特別版硬碟,提供長達2個月的免費遊戲通行證
※下代iPhone X將採用L型電池技術 續航或長達兩天
※待機長達 4 日!全球最小 Android 7.0 手機
※墨爾本CBD最大學生公寓Unilodge曝驚天醜聞,亞裔夫婦被禁錮長達6年!可能你也見過他們!
※年銷售增長達到162.5%,MO&Co.的姐妹品牌Edition 10做對了幾件事?
※EXID:EXID最難熬演出:Hani手指凍到無知覺長達兩周
※Science:攻克長達48年的難題,首次在人類腸道細胞培養諾如病毒
※前所未有!下一代iPhone X的續航或長達兩天
※iPhone 8真機現身 長達一年的曝光戰終於結束了
※下一代iPhone X電池續航時間或將長達兩天
※雷蛇發布新款便攜滑鼠Atheris 續航長達350小時