web-dev-qa-db-fra.com

Quel est l'impact du bogue du proxy inverse CloudFlare? ("#CloudBleed")

Dans Project Zero # 1139 , il a été révélé que CloudFlare avait un bogue qui révélait de la mémoire non initialisée, divulguant des données privées envoyées via SSL. Quel est le véritable impact?

known-vulnerabilitiesincident-responsethreat-mitigationthreat-modelingincident-analysis
59
Jeff Ferland

Comparé à la célèbre fuite de bugs HeartBleed, cela est similaire à certains égards: l'exposition à la mémoire non initialisée signifie que des données privées non liées sont divulguées.

Les choses qui sont meilleures

  • Cela n'a affecté que le code exécuté sur CloudFlare, et le bogue a cessé de fonctionner une heure après la notification. Aucune nouvelle donnée ne peut être divulguée via ce bogue.

  • Si quelqu'un avait connaissance de ce bug, il ne pourrait pas cibler un individu avec. Les sessions vidées semblent être aléatoires.

  • CloudFlare a des journaux, et ils n'ont révélé aucune indication que quiconque connaissait et exploitait ce bogue.

Les choses qui sont pires

  • La taille des vidages de mémoire non initialisés est énorme. Ils capturent régulièrement des en-têtes HTTP complets et des sections substantielles du corps de la demande. Cela donne à peu près toutes les données nécessaires pour détourner une session, et si une session de connexion était capturée, elle comprendrait bien sûr le mot de passe.

  • C'était de la roulette en session libre. Les demandes répétées d'URL invalides ne feraient que vider de plus en plus de données aléatoires.

  • Si quelqu'un était au courant de cela, il aurait pu créer une page qui l'a amenée à créer des vidages de données de taille presque arbitraire, ou même à frapper à plusieurs reprises une URL non valide déjà existante.

  • Un utilisateur final pourrait être compromis sans aucune faiblesse dans la partie du site Web ou de l'utilisateur.

  • Quelques utilisateurs malchanceux auront toujours cette fuite de données existant dans les caches après cette divulgation, et ils seront très largement divulgués. Si ces cookies de session ne sont pas invalidés, il est pratiquement garanti que quelqu'un se connectera à leurs comptes.

Comment quelqu'un peut-il aborder un incident comme celui-ci?

Limiter la durée de vie des jetons de session et utiliser une authentification à deux facteurs appropriée permettrait de résoudre la fuite de données à long terme, empêchant quelqu'un d'acquérir une session de longue durée. Les clients de CloudFlare pourraient invalider tous les cookies de session et forcer la rotation de tous les mots de passe, bien que cela ne se produise probablement pas.

Qu'est-ce que cela signifie pour moi?

CloudFlare affirme qu'aucune clé SSL privée n'a été divulguée, car ils se terminaient dans des processus distincts.Par conséquent, bien que la classe de bogues soulève normalement des inquiétudes, ce n'est pas le cas dans ce cas particulier.

C'est une excellente leçon pour la communauté de la sécurité de penser à d'éventuels bogues à long terme qui ont un rayon d'explosion énorme. La plupart des gens ne sont probablement pas affectés, bien que, comme indiqué ci-dessus, quelques personnes aient perdu la loterie Bad Luck.

48
Jeff Ferland