Jump to content

Облачное кровотечение

Cloudbleed — это Cloudflare переполнение буфера , раскрытое Project Zero 17 февраля 2017 года. Код Cloudflare раскрывал содержимое памяти, в которой содержалась личная информация других клиентов, такая как файлы cookie HTTP , токены аутентификации , тела HTTP POST и другие конфиденциальные данные. [1] В результате данные клиентов Cloudflare были переданы всем другим клиентам Cloudflare, имевшим доступ к памяти сервера. По данным Cloudflare, это произошло более 18 000 000 раз, прежде чем проблема была исправлена. [2] [3] Некоторые из утекших данных были закешированы системами поисковыми . [3] [4] [5] [6] [7] [8]

Открытие

[ редактировать ]

Об открытии сообщила команда Google Project Zero . [1] Тэвис Орманди [9] разместил проблему в системе отслеживания проблем своей команды и сказал, что проинформировал Cloudflare о проблеме 17 февраля. В ходе своей собственной атаки для проверки концепции он заставил сервер Cloudflare возвращать «частные сообщения с крупных сайтов знакомств, полные сообщения с хорошо -известный чат-сервис, данные онлайн-менеджера паролей, кадры с сайтов видео для взрослых, бронирование отелей. Мы говорим о полных https-запросах, IP-адресах клиентов, полных ответах, файлах cookie, паролях, ключах, данных и обо всем». [1]

Сходства с Heartbleed

[ редактировать ]

По своим последствиям Cloudbleed сравним с ошибкой Heartbleed 2014 года , поскольку она позволяла неавторизованным третьим лицам получать доступ к данным в памяти программ, работающих на веб-серверах, включая данные, которые были защищены во время передачи с помощью TLS . [10] [11] Cloudbleed также, вероятно, затронул такое же количество пользователей, как и Heartbleed, поскольку он затронул сеть доставки контента, обслуживающую почти два миллиона веб-сайтов. [4] [11]

Тэвис Орманди , первым обнаруживший уязвимость, сразу же сравнил ее с Heartbleed , заявив в своем отчете, что «потребовалась вся сила, чтобы не назвать эту проблему «облачным кровотечением». [1]

Реакции

[ редактировать ]

Облачное сияние

[ редактировать ]

В четверг, 23 февраля 2017 г., Cloudflare написал сообщение, в котором отметил: [12]

Ошибка была серьезной, поскольку утекшая память могла содержать личную информацию и потому что она была кэширована поисковыми системами. Мы также не обнаружили никаких доказательств злонамеренного использования этой ошибки или других сообщений о ее существовании.
Наибольший период воздействия пришелся на 13 и 18 февраля: примерно 1 из каждых 3 300 000 HTTP-запросов через Cloudflare потенциально приводил к утечке памяти (это около 0,00003% запросов).

Cloudflare признала, что утечка памяти могла произойти еще 22 сентября 2016 года. Компания также заявила, что произошла утечка одного из ее собственных закрытых ключей, используемых для межмашинного шифрования.

Оказалось, что основная ошибка, вызвавшая утечку памяти, присутствовала в нашем Ragel на основе парсере в течение многих лет, но утечки памяти не было из-за способа NGINX использования внутренних буферов . Внедрение cf-html слегка изменило буферизацию, что сделало возможной утечку, хотя в самом cf-html проблем не было. [3]

Джон Грэм-Камминг Cloudflare , технический директор , отметил, что клиенты Cloudflare, такие как Uber и OkCupid, не были напрямую проинформированы об утечках из-за связанных с ситуацией рисков безопасности. «За пределами Cloudflare не было никакого бэкдорного общения — только с Google и другими поисковыми системами», — сказал он. [6]

Грэм-Камминг также сказал: «К сожалению, это было древнее программное обеспечение, содержащее скрытую проблему безопасности, и эта проблема проявилась только в процессе перехода от него». Он добавил, что его команда уже начала тестирование своего программного обеспечения на наличие других возможных проблем. [7]

Команда Google Project Zero

[ редактировать ]

Тэвис Орманди первоначально заявил, что он «действительно впечатлен быстрой реакцией Cloudflare и тем, насколько они преданы решению этой досадной проблемы». [1] Однако, когда Орманди потребовал от Cloudflare дополнительной информации, «они дали несколько не имеющих смысла оправданий» [13] перед отправкой черновика, который «значительно преуменьшает риск для клиентов». [14]

Убер

[ редактировать ]

Uber заявил, что влияние на его услуги было очень ограниченным. [10] Представитель Uber добавил, что «было задействовано лишь несколько токенов сеанса, которые с тех пор были изменены. Пароли не были раскрыты». [15]

ОККупидон

[ редактировать ]

Генеральный директор OKCupid Эли Сейдман сказал: «CloudFlare предупредил нас вчера вечером о своей ошибке, и мы изучаем ее влияние на участников OkCupid. Наше первоначальное расследование выявило минимальную угрозу, если таковая имеется. пострадавших, мы незамедлительно уведомим их и примем меры для их защиты». [10] [15]

Фитбит

[ редактировать ]

В Fitbit заявили, что они расследовали инцидент и обнаружили, что пострадало лишь несколько человек. Они рекомендовали заинтересованным клиентам сменить свои пароли и очистить токены сеанса, отозвав и повторно добавив приложение в свою учетную запись. [16]

1Пароль

[ редактировать ]

В своем блоге Джеффри Голдберг заявил, что никакие данные из 1Password не будут подвергаться риску из-за Cloudbleed, сославшись на использование службой протокола Secure Remote Password (SRP) , в котором клиент и сервер подтверждают свою личность, не раскрывая никаких секретов по сети. . Данные 1Password дополнительно шифруются с использованием ключей, полученных из главного пароля пользователя и секретного кода учетной записи, который, по утверждению Голдберга, защитит учетные данные даже в случае взлома собственных серверов 1Password. 1Password не предлагал пользователям менять свой главный пароль в ответ на потенциальное нарушение, связанное с ошибкой. [17]

Исправление

[ редактировать ]

Многие крупные новостные агентства рекомендовали пользователям сайтов, размещенных на Cloudflare, сменить пароли, поскольку даже учетные записи, защищенные многофакторной аутентификацией, могут оказаться под угрозой. [18] [19] [20] [7] [21] Пароли мобильных приложений также могли быть затронуты. [22] Исследователи из Arbor Networks в своем предупреждении предположили, что «для большинства из нас единственный по-настоящему безопасный ответ на эту крупномасштабную утечку информации — это обновить пароли для веб-сайтов и служб, связанных с приложениями, которые мы используем каждый день… Почти все». [23]

Обозреватель журнала Inc. по кибербезопасности Джозеф Стейнберг, однако, посоветовал людям не менять свои пароли, заявив, что «текущий риск намного меньше, чем цена, которую приходится платить за растущую «усталость от кибербезопасности», ведущую к гораздо более серьезным проблемам в будущем». [24]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б с д и «Проблема 1139: Cloudflare: обратные прокси-серверы Cloudflare сбрасывают неинициализированную память» . 19 февраля 2017 года . Проверено 24 февраля 2017 г.
  2. ^ «О Cloudflare» . Облачная вспышка. Архивировано из оригинала 4 марта 2017 года . Проверено 16 июня 2021 г. Каждую неделю среднестатистический пользователь Интернета прикасается к нам более 500 раз.
  3. ^ Перейти обратно: а б с «Отчет об инциденте с утечкой памяти, вызванной ошибкой парсера Cloudflare» . Облачная вспышка. 23 февраля 2017 года. Архивировано из оригинала 23 февраля 2017 года . Проверено 24 февраля 2017 г. 1 из каждых 3 300 000 HTTP-запросов через Cloudflare потенциально приводил к утечке памяти.
  4. ^ Перейти обратно: а б Томсон, Иэн (24 февраля 2017 г.). «Cloudbleed: крупные веб-бренды разглашали криптоключи и личные секреты из-за ошибки Cloudflare» . Регистр . Проверено 24 февраля 2017 г.
  5. ^ Берджесс, Мэтт. «Cloudflare уже несколько месяцев раскрывает конфиденциальную информацию об Uber, Fitbit и Ok Cupid» . ПРОВОДНАЯ Великобритания . Проверено 24 февраля 2017 г.
  6. ^ Перейти обратно: а б Конгер, Кейт (24 февраля 2017 г.). «Крупная ошибка Cloudflare привела к утечке конфиденциальных данных с веб-сайтов клиентов» . ТехКранч . Проверено 24 февраля 2017 г.
  7. ^ Перейти обратно: а б с «CloudFlare в течение нескольких месяцев сливал конфиденциальные данные в Интернет» . Удача . Проверено 24 февраля 2017 г.
  8. ^ Вагстафф, Джереми (24 февраля 2017 г.). «Ошибка приводит к утечке личных данных, но нет никаких признаков того, что хакеры используют Cloudflare» . Рейтер .
  9. ^ Марк Роджерс дал интервью телешоу «Триангуляция» в TWiT.tv. сети
  10. ^ Перейти обратно: а б с Фокс-Брюстер, Томас. «Google только что обнаружил масштабную утечку информации в сети… и вы, возможно, захотите сменить все свои пароли» . Форбс . Проверено 24 февраля 2017 г.
  11. ^ Перейти обратно: а б Эстес, Адам Кларк. «Все, что вам нужно знать о Cloudbleed, последней катастрофе в сфере интернет-безопасности» . Гизмодо . Проверено 24 февраля 2017 г.
  12. ^ «Объяснение ошибки утечки памяти CloudBleed — почему все это произошло | PcSite» . ПКСайт . 25 февраля 2017 г. Проверено 3 марта 2017 г.
  13. ^ «1139 — Проект-ноль — Проект Ноль — Монорельс» .
  14. ^ «1139 — Проект-ноль — Проект Ноль — Монорельс» .
  15. ^ Перейти обратно: а б Ларсон, Селена (24 февраля 2017 г.). «Почему вам не следует волноваться (пока) из-за утечки безопасности Cloudbleed» . CNNMoney . Проверено 24 февраля 2017 г.
  16. ^ «Справочная статья: Как Fitbit обеспечивает безопасность моих данных в свете проблемы безопасности Cloudflare?» . help.fitbit.com . Архивировано из оригинала 7 июля 2017 года . Проверено 13 июля 2020 г.
  17. ^ «Три уровня шифрования обеспечат вашу безопасность в случае сбоя SSL/TLS | 1Password» . Блог 1Password . 23 февраля 2017 года . Проверено 30 декабря 2023 г.
  18. ^ «Облачное кровотечение: как с этим бороться» . Середина . 24 февраля 2017 года . Проверено 24 февраля 2017 г.
  19. ^ «Объяснение Cloudbleed: изъян обнажает горы частных данных» . Популярная механика . 24 февраля 2017 года . Проверено 24 февраля 2017 г.
  20. ^ Константин, Лукиан. «Ошибка Cloudflare раскрывает пароли и другие конфиденциальные данные с веб-сайтов» . ИТ-директор . Архивировано из оригинала 25 февраля 2017 года . Проверено 24 февраля 2017 г.
  21. ^ Менегус, Брайан. «Измените свои пароли. Сейчас» . Гизмодо . Проверено 24 февраля 2017 г.
  22. ^ Вайнштейн, Дэвид (24 февраля 2017 г.). «Влияние ошибки Cloudflare Cloudbleed на мобильные приложения: образец данных…» NowSecure . Проверено 24 февраля 2017 г.
  23. ^ «Мрачное чтение: Cloudflare в течение нескольких месяцев сливала данные веб-клиентов» . www.darkreading.com . Проверено 25 февраля 2017 г.
  24. ^ Джозеф Стейнберг (24 февраля 2017 г.). «Почему вы можете игнорировать призывы сменить пароль после сегодняшнего объявления о массовой утечке паролей» . Инк . Проверено 24 февраля 2017 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Cloudbleed&oldid=1206659246"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 33198be12214e27e2c005dc067e54b04__1707756000
URL1:https://arc.ask3.ru/arc/aa/33/04/33198be12214e27e2c005dc067e54b04.html
Заголовок, (Title) документа по адресу, URL1:
Cloudbleed - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)