흐림

Cloudbleed

Cloudbleed는 2017년 2월 17일 프로젝트 제로에 의해 공개된 Cloudflare 버퍼 오버플로입니다.Cloudflare의 코드는 HTTP 쿠키, 인증 토큰, HTTP POST 본문 및 기타 민감한 [1]데이터와 같은 다른 고객의 개인 정보를 포함하는 메모리의 내용을 공개했습니다.그 결과 Cloudflare 고객의 데이터는 서버 메모리에 액세스할 수 있는 다른 모든 Cloudflare 고객에게 유출되었습니다.당시 Cloudflare가 제공한 숫자에 따르면 문제가 [2][3]수정되기 전까지 1,800,000회 이상 발생했다고 합니다.유출된 데이터 중 일부는 검색 [3][4][5][6][7][8]엔진에 의해 캐시되었다.

검출

이 발견은 구글의 프로젝트 제로 [1]팀에 의해 보고되었다.Tavis Ormandy[9] 그의 팀의 이슈 트래커에 이 문제를 게시했고 그가 2월 17일에 Cloudflare에게 이 문제를 알렸다고 말했다.그는 자신의 개념 증명 공격에서 Cloudflare 서버에 "주요 데이트 사이트의 개인 메시지, 유명한 채팅 서비스의 전체 메시지, 온라인 비밀번호 관리자 데이터, 성인 비디오 사이트의 프레임, 호텔 예약"을 반환하도록 했습니다.완전한 https 요구, 클라이언트 IP 주소, 완전한 응답, 쿠키, 비밀번호, 키, 데이터 등 모든 것을 말합니다."[1]

가슴앓이와의 유사점

Cloudbleed는 2014년 Heartbleed 버그에 필적합니다.[10][11]TLS에 의해 전송되는 동안 보호되었던 데이터를 포함하여 웹 서버에서 실행되는 프로그램의 메모리에 있는 데이터에 무단 서드파티가 액세스할 수 있게 했다는 점입니다.Cloudbled는 Heartbled와 같은 수의 사용자에게도 영향을 미쳤을 가능성이 있습니다.이는 거의 200만 [4][11]개의 웹사이트를 서비스하는 콘텐츠 전송 네트워크에 영향을 미쳤기 때문입니다.

취약성을 처음 발견한 타비스 오르만디는 [1]즉각 하트블레드에 비유하며 보고서에서 "이 문제를 '구름덩어리'라고 부르지 않기 위해 모든 힘이 필요했다"고 말했다.

반응

클라우드 플레어

2017년 2월 23일 목요일 Cloudflare는 다음과 같은 내용의 [12]글을 올렸다.

유출된 메모리에 개인 정보가 포함되어 있을 수 있고 검색 엔진에 의해 캐시되었기 때문에 이 버그는 심각했습니다.또, 이 버그의 악의적인 악용이나 그 존재에 관한 다른 리포트의 증거도 발견되지 않았습니다.
가장 큰 영향은 2월 13일과 2월 18일로 Cloudflare를 통한 HTTP 요청 3,300,000건당 약 1건꼴로 메모리 누수가 발생할 가능성이 있습니다(요구의 약 0.00003%).

Cloudflare는 이르면 2016년 9월 22일 메모리가 유출될 수 있음을 인정했다.이 회사는 또한 기계 간 암호화에 사용되는 자체 개인 키 중 하나가 유출되었다고 밝혔습니다.

메모리 누수의 원인이 된 기본 버그는 Ragel 기반의 파서에 수년 전부터 존재해 왔지만 내부 NGINX 버퍼가 사용되었기 때문에 메모리 누수는 발생하지 않았습니다.cf-html을 도입함으로써 cf-html [3]자체에는 문제가 없었는데도 리크할 수 있는 버퍼링이 미묘하게 변경되었습니다.

Cloudflare CTOJohn Graham-Cumming은 Uber나 OkCupid와 같은 Cloudflare 클라이언트는 이 상황에 관련된 보안 위험 때문에 유출에 대해 직접 알리지 않았다고 지적했다.그는 "구글과 다른 검색 엔진에서만 Cloudflare 밖에서는 백도어 커뮤니케이션이 없었다"고 말했다.[6]

Graham-Cumming은 또한 "불행히도 그것은 잠재적인 보안 문제를 포함하고 있는 고대의 소프트웨어였고 그 문제는 우리가 그것으로부터 멀어지는 과정에서만 나타났다"고 말했다.그는 그의 팀이 이미 다른 [7]가능한 문제에 대한 소프트웨어 테스트를 시작했다고 덧붙였다.

구글 프로젝트 제로 팀

Tavis Ormandy는 처음에 "Cloudflare의 빠른 대응과 그들이 이 불행한 [1]문제를 해결하는데 얼마나 헌신적인지에 매우 감명받았다"고 말했다.그러나 Ormandy가 Cloudflare에 추가 정보를 요구하자 "이치에 [13]맞지 않는 몇 가지 변명을 했다"며 "고객에게 [14]위험을 심각하게 낮춘다"는 초안을 보냈다.

우버

우버는 자사 서비스에 미치는 영향은 매우 [10]제한적이라고 밝혔다.Uber 대변인은 "소수의 세션 토큰만이 관련되었고 그 이후로 변경되었다.비밀번호는 공개되지 않았습니다."[15]

OK Cupid

OKCupid CEO Elie Seidman은 다음과 같이 말했습니다.CloudFlare는 어젯밤 그들의 버그를 경고했고 우리는 그것이 OkCupid 멤버들에게 미치는 영향을 조사하고 있습니다.초기 조사 결과 노출은 최소한으로 드러났습니다사용자 중 한 명이라도 영향을 받았다고 판단되면 즉시 사용자에게 통지하고 [10][15]보호 조치를 취하겠습니다.

핏비트

Fitbit은 그들이 그 사건을 조사했고, 단지 "손잡이들이 영향을 받았다"는 것을 발견했다고 말했다.이들은 관련 고객들이 해당 앱을 해지하고 자신의 계정에 [16]다시 추가하여 비밀번호를 변경하고 세션 토큰을 클리어할 것을 권고했다.

복구

많은 주요 뉴스 매체들은 Cloudflare가 호스팅하는 사이트의 사용자들에게 비밀번호를 변경하라고 조언했다.다요소 인증으로 보호되는 계정조차 위험에 [17][18][19][7][20]처할 수 있기 때문이다.모바일 앱의 비밀번호도 영향을 [21]받을 수 있습니다.Arbor Networks의 연구진은 "대부분의 우리들에게 이 대규모 정보 유출에 대한 진정한 안전 대응은 우리가 매일 사용하는 웹사이트와 앱 관련 서비스에 대한 비밀번호를 업데이트하는 것이다.거의 [22]다요."

그러나 인터넷 보안 전문 칼럼니스트인 조셉 스타인버그는 "현재의 위험은 사이버 보안 피로도가 높아져 [23]미래에 더 큰 문제를 일으킬 수 있는 대가보다 훨씬 적다"며 비밀번호를 변경하지 말 것을 조언했다.

레퍼런스

  1. ^ a b c d e "Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory". 19 February 2017. Retrieved 24 February 2017.
  2. ^ "About Cloudflare". Cloudflare. Archived from the original on 2017-03-04. Retrieved 16 June 2021. Every week, the average Internet user touches us more than 500 times.
  3. ^ a b c "Incident report on memory leak caused by Cloudflare parser bug". Cloudflare. 23 February 2017. Archived from the original on 2017-02-23. Retrieved 24 February 2017. 1 in every 3,300,000 HTTP requests through Cloudflare potentially resulted in memory leakage.
  4. ^ a b Thomson, Iain (24 Feb 2017). "Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug". The Register. Retrieved 2017-02-24.
  5. ^ Burgess, Matt. "Cloudflare has been leaking private Uber, Fitbit and Ok Cupid details for months". WIRED UK. Retrieved 2017-02-24.
  6. ^ a b Conger, Kate. "Major Cloudflare bug leaked sensitive data from customers' websites". TechCrunch. Retrieved 2017-02-24.
  7. ^ a b c "CloudFlare Leaked Sensitive Data Across the Internet For Months". Fortune. Retrieved 2017-02-24.
  8. ^ Reuters (2017-02-24). "Bug Causes Personal Data Leak, but No Sign of Hackers Exploiting: Cloudflare". The New York Times. ISSN 0362-4331. Retrieved 2017-02-24.
  9. ^ Marc Rogers는 TWiT.tv 네트워크의 TV 쇼 Triangulation에서 인터뷰를 했습니다.
  10. ^ a b c Fox-Brewster, Thomas. "Google Just Discovered A Massive Web Leak... And You Might Want To Change All Your Passwords". Forbes. Retrieved 2017-02-24.
  11. ^ a b Estes, Adam Clark. "Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster". Gizmodo. Retrieved 2017-02-24.
  12. ^ "CloudBleed memory leak bug explained-why it all happened TechBuzzIn™". TechBuzzIn™. 2017-02-25. Retrieved 2017-03-03.
  13. ^ "1139 - project-zero - Project Zero - Monorail".
  14. ^ "1139 - project-zero - Project Zero - Monorail".
  15. ^ a b Larson, Selena (2017-02-24). "Why you shouldn't freak out (yet) about the 'Cloudbleed' security leak". CNNMoney. Retrieved 2017-02-24.
  16. ^ "Help article: How is Fitbit keeping my data secure in light of the Cloudflare security issue?". help.fitbit.com. Archived from the original on 7 July 2017. Retrieved 13 July 2020.
  17. ^ "Cloudbleed: How to deal with it". Medium. 2017-02-24. Retrieved 2017-02-24.
  18. ^ "Cloudbleed Explained: Flaw Exposes Mountains of Private Data". Popular Mechanics. 2017-02-24. Retrieved 2017-02-24.
  19. ^ Constantin, Lucian. "Cloudflare bug exposed passwords, other sensitive data from websites". CIO. Retrieved 2017-02-24.
  20. ^ Menegus, Bryan. "Change Your Passwords. Now". Gizmodo. Retrieved 2017-02-24.
  21. ^ Weinstein, David (2017-02-24). "Cloudflare 'Cloudbleed' bug impact on mobile apps: Data sample of..." NowSecure. Retrieved 2017-02-24.
  22. ^ "Dark Reading - Cloudflare Leaked Web Customer Data For Months". www.darkreading.com. Retrieved 2017-02-25.
  23. ^ Joseph Steinberg (February 24, 2017). "Why You Can Ignore Calls To Change Your Passwords After Today's Massive Password Leak Announcement". Inc. Retrieved February 24, 2017.

외부 링크