高级ASERT安全分析师 Steinthor Bjarnason 和ASERT首席工程师 Roland Dobbins

CloudFlare可能是最知名的DDoS缓解服务提供商,但它们也运营着互联网上最大的内容交付网络(CDN)之一。许多流行的网站,移动应用程序等都使用CloudFlare CDN,该CDN托管与全球超过400万个DNS域相关的内容。

CloudFlare开发了定制软件,允许其CDN每天每秒钟处理大量Web请求。它是一个复杂,高度可扩展的系统,CloudFlare不断致力于增强其功能和可扩展性,以满足其客户的需求。

不幸的是,CloudFlare的CDN系统中使用的一个软件组件中存在严重的安全漏洞,因为CloudFlare在去年年底对该服务进行了一些更改。结果,似乎有大量与CloudFlare支持的网站和应用程序相关的信息 - 可能包括用户名,密码,聊天会话和其他形式的个人识别信息(PII) - 无意中从CloudFlare和已被Google,Bing,DuckDuckGo和百度等搜索引擎缓存; 私营的“网络刮刀”; 和类似的服务。

这意味着,数百万互联网用户的这一迄今为止的私人信息 - 可能再次包括访问凭证 - 可供任何人偶然发现,并可能被利用。

这些信息是否通过SSL / TLS加密并不重要。

这怎么发生的?
每当CloudFlare CDN反向代理之一收到SSL / TLS请求时,它必须解密请求并执行一些处理,以确定如何最好地为请求提供服务。此处理的结果通常存储在反向代理的操作RAM中,然后在系统继续为后续请求提供服务时忘记(未删除)。CloudFlare CDN服务堆栈组件中的一个错误导致一些用户不仅收到他们期望的结果,而且还收到来自CloudFlare反向代理的随机内存内容 - 其中包含来自其他用户请求和对敏感信息的响应等所有内容。解密的密码和用户名。

基本上,如果用户A从服务器X访问内容,则除了来自服务器Y的预期结果之外,用户B还可以看到用户A在他的来自服务器X的响应中得到了什么。通常情况下,这不会成为问题,因为Web浏览器会忽略其他内容,而用户B只会看到他预期的结果。

但是,为了提高性能和统计分析的目的,几乎所有的大型网络搜索提供商,如谷歌,必应,百度等。人。将缓存和存储世界上几乎所有Web服务器的信息。这意味着当用户B确实发出请求并且无意中收到与用户A相关的潜在敏感信息时,结果通常存储在这些流行搜索引擎的缓存中 - 并且可能也存储在私人运行的Web爬虫中。

这导致CloudFlare CDN无意中泄露随机用户会话信息,该信息随后由Google和其他搜索提供商存储。该信息易于搜索,并且使用简单的搜索工具相对容易定位。Google一直积极与CloudFlare合作,以发现这种无意中泄露和缓存的敏感内容,并积极致力于将其从Google缓存中清除。假设其他着名的搜索引擎运营商也在使用CloudFlare在他们的平台上执行此操作。

这对我意味着什么?
如前所述,许多最受欢迎的网站,移动应用程序和相关服务都使用CloudFlare CDN服务。可以在此处找到以编程方式生成的这些站点和服务的域列表。这个方便的Chrome Web浏览器插件还会在用户浏览CloudFlare驱动的站点时提醒用户,这个基于Web的实用程序也非常有用。

您可能已经使用了CloudFlare CDN提供服务的一个或多个站点,服务和/或应用程序,无论您是直接访问它们,还是它们是某些其他站点,服务或应用程序的依赖项你已经习惯了。由于CloudFlare CDN服务的普及,大多数互联网用户无法确定其Web浏览或应用流量是否已由CloudFlare CDN提供服务。

这就是问题所在。

改变他们所有,并立即改变他们!
对于我们大多数人来说,对这种大规模信息泄露的唯一真正安全的回应是更新我们每天使用的网站和应用相关服务的密码。几乎所有这些。

谷歌,苹果和微软似乎没有使用CloudFlare CDN - 但除非有时间,精力和可用于对过去几个月的历史网上冲浪和应用程序使用情况进行详细分析,否则最好做一个所有其他帐户的密码轮换,只是为了安全起见。

请记住,其他类型的信息也可能泄露 - 从聊天记录到电子邮件内容,到财务信息和Web浏览习惯。因此,尽管保持对一个人的在线信息的关注总是一个好主意,但在这种大规模信息泄漏之后需要提高警惕性。

对复杂问题的快速反应
谷歌Project Zero团队的Google安全研究员Tavis Ormandy最初发现了这个问题,并在短时间内联系了CloudFlare。CloudFlare迅速做出反应,并一直与谷歌和其他组织合作,尽可能多地从网络搜索引擎缓存中删除泄露的信息,并公开解释了这一事件是如何发生的,以及他们采取的步骤修复它并确保它不会再次发生。

尽管发生这种性质的事件是令人遗憾的,但Google Project Zero和CloudFlare本身都应该受到赞扬,因为他们采取快速行动以尽最大努力解决问题,并公开讨论发生的事情,以便其他安全研究人员 - 以及整个互联网社区 - 可以对自己的潜在影响进行评估。我们希望更多的组织能够从他们的榜样中学习,并以及时和直接的方式进行修复和披露安全事件的相关细节。