Keď som naposledy spomínal Cloudflare, tak v kontexte ako ničí internet. Po dnešnom článku môžete mať pocit, že na nich hľadám len to najhoršie, avšak nie je tomu tak. Určite vám neuniklo, že Google v rámci Project Zero práve u tohto obľúbeného prevádzkovateľa CDN našiel bezpečnostnú chybu, ktorá následne dostala pomenovanie Cloudbleed.
Konkrétne reverzné proxy z neinicializovanej pamäti posielali vo svojich odpovediach citlivé informácie ako HTTP cookies, autentizačné tokeny, HTTP POST bodies a pod. Zneužiteľná bola od 22.10.2016 do 18.2.2017 a jednalo sa o chybu v parsovaní HTML. Cloudflare chybu priznalo a celú situáciu aj jej priebeh popísalo na svojom blogu.
Takéto dáta sa mohli nachádzať v 1 z každého 3 300 000 HTTP requestu, percentuálne vyjadrené to je 0.00003%, čo neznie tak desivo. Pri obrovskom trafficu tejto CDN to ale môže predstavovať až 100k-200k stránok denne. Takýto obsah malo ale nacachovaný niekoľko vyhľadávačov, konkrétne sa jednalo o 770 jedinečných URI z 161 jedinečných domén. Cloudflare požiadalo spoločnosti Google, Yahoo, Bing o premazanie takýchto dát. Od nahlásenia problému do finálneho fixnutia a vrátenia do pôvodného stavu (zapnutie HTTPS Rewrites) ubehli tri dni.
Okrem webov sa problém dotýka aj mobilných aplikacií. Napríklad NowSecure prinieslo prehľad 200 takýchto aplikácii pre iOS. Aj keď Cloudflare priamo nevyzýva užívateľov na zmenu hesiel, tak niekoľko bezpečnostných expertov a samotných služieb ako napríklad Fitbit na ňu používateľov vyzvalo.
Cloudflare používa cca 2 000 000 stánok globálne. Zoznam tých zaujímavých sa dá nájsť na GitHub-e. Pozrel som sa na prehľad .SK domén, ktoré majú ako DNS nastavené práve túto službu, nie všetky musia ale používať reverzné proxy, ktorého sa bezpečnostný problém týka. Konkrétne ide o 1260 domén. Z tých zaujímavejšich spomeniem webnoviny.sk, pluska.sk, atlas.sk, vlada.sk, vju.sk a pod. Kompletný prehľad slovenských domén je na GitHub-e.