CloudBleed - En riktigt allvarlig säkerhetsbrist

Cloudflare som är stort företag som erbjuder bland annat CDN, DNS-tjänster och DDoS-skydd, kan ha orsakat en av största säkerhetsbuggarna någonsin. Allt beror på ett enkelt fel i företagets källkod, där ett = istället blev ett >. Det ledde till att Cloudflares proxyservrar fick fnatt och började kasta ur sig slumpmässig data.

Buggen gjorde att du potentiellt kunde få delar av någon annan persons webbtrafik i din webbläsare när du besökte en sajt som använde Cloudflares tjänster. The Register beskriver det bra när de säger att buggen är jämförbar med att sitta på en restaurang vid ett tomt bord, men av servitören får du inte bara en meny du får även innehåll från den tidigare besökarens plånbok eller handväska.

Buggen läckte dock inte information kontinuerligt utan triggades när webbsidan hade speciell kombination av HTML-taggar vilket fick Cloudflares proxyservrar att läcka ut både okrypterad och krypterad data.

Upptäckten gjordes av säkerhetsexperten Tavis Ormandy på Google och buggen har redan fått namnet Cloudbleed som en referens till den uppmärksammade buggen Heartbleed, som av många kallats för den största säkerhetsbristen någonsin. Det är för tidigt att jämföra de båda, men det uppenbart att Cloudbleed påverkat internetanvändare under lång tid.

Ormandi skriver själv ett inlägg om buggen där allvaret i situationen framgår:

”De exemplen vi hittar är så illa att jag ställde in helgplanerna så att jag kan spendera söndagen på kontoret för att bygga verktyg för att städa upp.”

Cloudflares tjänster används av mängder av sajter världen över, Reddit, Piratebay och Uber är bara några exemepel.

Cloudflare släppte kort därefter en detaljerad incidentrapport om buggen och vad som orsakade den:

”We quickly identified the problem and turned off three minor Cloudflare features (email obfuscation, Server-side Excludes and Automatic HTTPS Rewrites) that were all using the same HTML parser chain that was causing the leakage. At that point it was no longer possible for memory to be returned in an HTTP response.”

I rapporten skriver Cloudflare att den största läckan skedde mellan 13 och 18 februari, då 1 av 3 300 000 (0,00003 %) http-requests läckte data över 3 438 unika domäner. Ormandy säger dock att siffran 3 438 endast gäller direkta förfrågningar, och att all data som passerat genom Cloudflares tjänster var sårbar.

Som tack för att hittat säkerhetsbristen fick Ormandy en sprillans ny t-shirt, vilket var toppbelöningen i Cloudflares bug bounty-program vid tidpunkten.