نقص امنیتی جدید در Cloudfare

وجود باگ در سیستم HTML Parsing Cloudflare منجر به انتشار اطلاعات حافظه این سیستم در صفحات وب شده و این اطلاعات توسط موتورهای‌ جستجو نیز Cache شده است.

این باگ به مدت چندین ماه در سیستم‌های بهینه‌سازی محتوای (Optimization System) شرکت Cloudflare وجود داشته است که اطلاعات حساس کاربران در وب‌سایت‌های مرتبط با شبکه عرضه محتوای این شرکت را منتشر نموده است. این داده‌ها مواردی همچون رمزهای عبور، Cookie‌ها، Tokenهای احراز هویت و حتی پیام‌های شخصی را می‌شوند.

این باگ که مشاهده‌ داده‌های حساس کاربران را امکانپذیر می‌ساخت، مدت‌ها در سیستم HTML Parser قدیمی این شرکت وجود داشت، اما سال گذشته و پس از آن که یک HTML Parser جدید توانست در صورت فعال شدن برخی ویژگی‌های مشخص، نحوه استفاده از Buffer‌های وب سرور داخلی را تغییر ‌دهد، فعال گردید.

در نتیجه‌ی این نقص امنیتی، اطلاعات حساس حافظه در برخی پاسخ‌های بازگشتی به کاربران و موتور‌های جستجو انتشار پیدا می‌نمود. سپس داده‌های حساس صفحات وب Cache گردیده و امکان جستجوی آنها از طریق موتورهای جستجو مانند گوگل، یاهو و Bing نیز میسر گردید.

این رویداد به صورت تصادفی و هنگامی کشف گردید که Tavis Ormandy، مهندس امنیتی گوگل برروی یک پروژه غیرمرتبط کار می‌کرد. پس از مواجهه وی و همکارانش با داده‌هایی مرموز و سپس شناسایی ماهیت و مبدا آنها، این تیم شرکت Cloudflare را در جریان نشت اطلاعاتی آن‌ها قرار داد.

Cloudflare چند ماه پیش و در پی این اطلاع رسانی، اقدام به تشکیل فوری یک تیم جهت پاسخگویی به این رویداد امنیتی نمود و توانست در مدت چند ساعت عامل این باگ را حذف نماید. مدتی بعد نیز یک دستورالعمل پیچیده به منظور اصلاح این آسیب‌پذیری فراهم گردید و سایر اقدامات بعدی تا هنگام علنی شدن این موضوع صرف پاک‌سازی کامل داده‌های حساس از Cache‌های موتورهای جستجو گردید.

John Graham-Cumming مدیر ارشد فناوری در Cloudflare به همکاری موتورهای جستجوی گوگل، یاهو، Bing و … اشاره نمود که موجب شناسایی 770 مورد URI منحصر‌به‌فرد، Cache‌شده و حاوی اطلاعات نشت یافته حافظه شده است. این تعدادURI  شامل 160 دامین منحصر‌به‌فرد می‌شود. لازم به ذکر است که Uniform Resource Identifier یا به اختصار URI، یک رشته کاراکتر جهت شناسایی منابع در وب می‌باشد که گاها به عنوان جایگزینی برای URL به کارگرفته می‌شود.

این باگ از جهت میزان تاثیرگذاری مشابه آسیب‌پذیری HeartBleed در OpenSSL محسوب می‌شود که امکان نشت اطلاعات حساس حافظه را در سرورهای HTTPS برای مهاجمان ممکن می‌ساخت؛ Ormandy معتقد است که اگر تلاش‌های کافی در این زمینه صورت نمی‌پذیرفت، به احتمال زیاد فاجعه امنیتی دیگری موسوم به CloudBleed رخ می‌داد. اما در نهایت و برخلاف HeartBleed که در آن کلیدهای Private SSL/TLS مورد تهدید قرار گرفت، این کلیدها در Cloudflare تحت تاثیر قرار نگرفتند.

Graham-Cumming اظهار داشت: Cloudflare با اجرای چندین فرآیند پردازشی مجزا در ماشین‌های Edge، بخش‌های پردازشی و حافظه را جداسازی می‌نماید. آن دسته از اطلاعات حافظه‌ که در حال نشت بوده‌است به یک فرآیند پردازشی مبتنی بر NGINX تعلق داشته‌ که وظیفه‌ی رسیدگی به ترافیک HTTP  را دارا بوده و از بخش‌های رسیدگی‌کننده به SSL، فشرده‌سازی مجدد تصویر و فرآیند Caching مجزا می‌باشد. در نتیجه شرکت از عدم انتشار کلیدهای Private SSL مشتریان اطمینان داشته است.

توصیه امنیتی Ryan Lackey به عنوان یک محقق امنیتی آن است که با توجه به ارائه بسیاری از بزرگ‌ترین سرویس‌های وب از جمله Uber، Fitbit، OKCupid از سوی Cloudflare، اقدام منطقی‌تر آن است که مشتریان به جای جستجو برای شناسایی سرویس‌های آسیب‌پذیر Cloudflare، اقدام به تغییر رمزهای عبور خود در سایت‌های مختلف نمایند.