Cloudflare har läckt data från sin reverse-proxy-tjänst

Returnerade oinitializerat minne vid vissa omständigheter.

Vad har hänt?

Cloudflare rapporterar[0] att de har upptäck och åtgärdat ett kodfel som ledde till dataläckage. Vissa HTTP-förfrågningar till sidor som ligger bakom deras reverse-proxy returnerade oinitalizerat minne från Cloudflares servrar.

Vad har läckt?

Vad som har läckt beror till stor del på vad som fanns i närheten av minnet där kodfelet ägde rum.

Enligt Tavis Ormandy[1] har Project-Zero (som upptäckte läckaget) observerat "encryption keys, cookies, passwords, chunks of POST data and even HTTPS requests for other major cloudflare-hosted sites from other users."

Cloudflare har konstaterat att privata nycklar som tillhör kunder inte kunnat läcka[0] tack vare minnesisolering mellan processer.

När började läckaget?

Cloudflare har verifierat att omständigheterna som lett till läckage inte har kunnat äga rum förrän tidigast 2016-09-22. Cloudflare bekräftar också att kodfelet åtgärdades den 2017-02-18.

Vilka kan vara drabbade?

Alla som använder sig utav Cloudflare:s reverse-proxy infrastruktur (deras huvudtjänst) mellan 2016-09-22 och 2017-02-18 kan ha drabbats. Data (eller en del av den data) som skickats mellan klient och deras server via Cloudflare kan ha läckt.

Viktigt att tänka på:

Endast ett fåtal HTTP-förfrågningar kunde leda till kodfelet som orsakade dataläckage. Den data som har läckt vid dessa tillfällen kan dock ha tillhört vilken annan sida eller klient som helst som nyligen skickat data via Cloudflares reverse-proxy.

Pågående effekt på grund av HTTP-chaching och spindling

Då läckaget har skett via HTTP, har det också förekommit att sidor där information läckt blivit spindlade och hamnat i olika cacher. Google (via Project-Zero) har försökt att rensa sina cacher, men då många aktörer spindlar webben aktivt kommer det vara omöjligt att säkerställa att information som läckt inte finns sparad.

CERT-SE:s rekommendationer

Till de som driftar infrastruktur bakom Cloudflare:

CERT-SE rekommenderar att samtliga som driftar infrastruktur där Cloudflare använts som en reverse proxy utför följande åtgärder:

  • Identifiera, om möjligt, vilken känslig data som gått mellan er infrastruktur och klienter via Cloudflare mellan den 2016-09-22 och 2017-02-18.
  • Återställ all autentiserings-information (nycklar, tokens, lösenord, m.m) som har skickat mellan er infrastruktur och klienter via Cloudflare mellan den 2016-09-22 och 2017-02-18.

Till samtliga:

CERT-SE rekommenderar att samtliga som autentiserat sig mot en tjänst som använt sig utav Cloudflare för reverse-proxy funktionalitet återställer sina lösenord och autentiseringsnycklar så fort som möjligt.

En lista med webbsidor/tjänster som använder sig utav Cloudflare har samlats här:
https://github.com/pirate/sites-using-cloudflare/blob/master/README.md

Ytterligare läsning

[0] CloudFlare – ‘Incident report on memory leak caused by Cloudflare parser bug’
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

[1] Google Project-Zero – ‘cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory’
https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

Source: Nyheter från CERT-SE @ February 24, 2017 at 05:50AM

0
Share