آسیب‌پذیریِ افشای اطلاعات محرمانه در CloudFlare

[chichosting.net]

ضعف امنیتی جدی در CDN شناخته شده‌ای به نام CloudFlare باعث افشاء داده‌های حساس میلیون‌ها سایت که از این CDN استفاده می‌کردند شده است.
این آسیب‌پذیری به دلیل اهمیت بالای آن (اهمیت این آسیب‌پذیری به اندازه آسیب‌پذیری Heartbleed شناخته شده است) Cloudbleed نامیده شده است.


این آسیب‌پذیری امنیتی، اطلاعات حساس و با ارزش وبسایت‌های پشت این سرویس مانند private session keys و کوکی‌ها و پسوردها و توکن‌‌های که برای اعتبارسنجی مورد استفاده قرار می‌گرفته‌اند را افشا کرده است.


سرویس cloudflare چیست:
سرویس cloudflare یک CDN و یک خدمت دهنده امنیتی بزرگ و شناخته شده است و به سایت‌های بزرگی با بازدیدهای بالاتر از یک تریلیون بازدید در ماه خدمات می‌دهد. از جمله مشتری‌های این سایت می‌توان به Discord و Pasion Futbol و Udacity و DigitalOcean و laravel اشاره کرد. این سرویس‌دهنده به بیش از ۵.۵ میلیون وبسایت خدمات می‌دهد.
سرویسی cloudflare مانند یک پراکسی بین کاربر و وب‌سرویس قرار می‌گیرد و با پاسخ‌گویی به درخواست‌های کاربر تعداد درخواست‌های ارسال شده به وب‌سرور مشتری را کم می‌کند، همچنین این سرویس با بررسی درخواست‌ها، درخواست‌هایی مشکوک را حذف می‌کند و در نتیجه حملات به وب‌سایت را مسدود می‌کند.


آسیب‌پذیری چگونه عمل می‌کند:
این آسیب‌پذیری یک هفته پیش بوسیله آقای Tavis Ormandy محقق تیم گوگل زیرو کشف شده است.
Cloudbleed یک حفره امنیتی در سرویس زیرساخت اینترنت cloudflare است که باعث نشت کلیدهای نشست خصوصی (private session key) و سایر اطلاعات حساس وبسایت میزبانی شده در cloudflare می‌شود.
این آسیب‌پذیری یک buffer overflow در سرورهای این سرویس‌دهنده است و داده‌های موجود در حافظه شامل کوکی‌های HTTP، توکن‌های اعتبارسنجی، و داده‌های HTTP POST را برمی‌گرداند.
برخی از این داده‌ها کماکان بوسیله موتورهای جستجو کش شده‌اند.
آقای Ormandy در بلاگ کروم نوشته است:


من پیام‌های حساسی از سایت‌های دوست‌یابی معروف، همچنین پیام‌های کاملی از یک سرویس چت معروف، اطلاعات سایت‌های مدیریت پسورد آنلاین، فریم‌هایی از سایت‌های ویدیوی بزرگسالان و رزرو هتل را پیدا کرده‌ام.

اطلاع‌رسانی به cloudflare و اقدامات این سرویس:
آقای Ormandy اطلاعات این آسیب‌پذیری را به شرکت اطلاع می‌دهد و شرکت منشاء این آسیب‌پذیری را پیدا می‌کند و مشکل را رفع می‌کند.
سرویس couflare این آسیب‌پذیری را با غیر فعال کردن سه ویژگی Email obfuscation و Server-side Excludes و Automatic HTTPS Rewrites رفع می‌کند.
و در نهایت در تاریخ چهار شنبه ۲۲ فوریه ۲۰۱۷ این آسیب‌پذیری را به صورت عمومی منتشر کرد.


چه کسانی بوسیله این آسیب‌پذیری تهدید می‌شوند:
اگر سایتی دارید که پشت cloudflare قرار دارد شما تحت‌تاثیر این آسیب‌پذیری قرار دارید و ممکن است اطلاعات حساس سایت شما افشا شده باشد.
همچنین اگر شما از سایت‌های آلوده بازدید کرده باشید ممکن است اطلاعات شما افشا شده باشند.


این آسیب‌پذیری برنامه‌های موبایل را هم آسیب‌پذیر کرده است:
از آنجا که بیشتر برنامه‌های موبایل در نهایت اطلاعات را به سایت‌ها یا سرورهایی ارسال می‌کنند و این سرورها ممکن است از سرویس cloudflare استفاده کننده در نتیجه ممکن است این برنامه‌های نیز آسیب پذیر باشند.
اعلام شده اطلاعات هدر http برنامه‌هایی مانند Discord و Uber طی این مدت افشا شده است.


اطلاعات چه سایت‌ها و سرویس‌هایی بوسیله این آسیب‌‌پذیری منتشر شده است؟
از جمله سایت‌ها و برنامه‌هایی که آلوده شده‌اند می‌توان به Uber و ۱Password و FitBit و OKCupid و CoinBase و ۴Chan و BitPay و DigitalOcean و Medium و ProductHunt و Transferwise و The Pirate Bay و Extra Torrent و BitDefender و Pastebin و Zoho و Feedly و Ashley Madison و Bleeping Computer و The Register اشاره کرد.

برای کمتر کردن اثرات این آسیب‌پذیری چه کارهایی را باید انجام بدهیم؟
سایت‌هایی که از clouflare استفاده می‌کرده‌اند بهتر است پسورد همه کاربران خود را تغییر دهند همچینین اگر اطلاعات حساسی را انتقال داده‌اید بهتر است این اطلاعات را تغییر دهند.

[RealHAM]

سلام
اول این که این باگ در ۷ ساعت بعد کشف شدن پچ شده است
دوم این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد

فکر می کنید عنوان تاپیک مناسب است ؟!!!
خیلی دیگر بزرگش کردید

[chichosting.net]

سلام
اول این که این باگ در ۷ ساعت بعد کشف شدن پچ شده است
دوم این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد

فکر می کنید عنوان تاپیک مناسب است ؟!!!
خیلی دیگر بزرگش کردید

درود
عنوان ویرایش شد .

[arc1o0]

سلام
اول این که این باگ در ۷ ساعت بعد کشف شدن پچ شده است
دوم این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد

فکر می کنید عنوان تاپیک مناسب است ؟!!!
خیلی دیگر بزرگش کردید

سلام

خیلی از باگ ها پس از مدتها سو استفاده اعلام عمومی می شود

یعنی عملا وقتی باگ پابلیک شده و کم و بیش همه متوجه شده اند و دیگه قابلیت فروش یا سو استفاده وجود نداره، تازه میان با ساز و کرنا اعلام می کنند که فلان باگی بوده و ...

من الان خودم میترسم بیام این فروم