In Project Zero # 1139 , è stato reso noto che CloudFlare aveva un bug che ha rivelato una memoria non inizializzata, che perdeva i dati privati inviati tramite SSL. Qual è il vero impatto?
In Project Zero # 1139 , è stato reso noto che CloudFlare aveva un bug che ha rivelato una memoria non inizializzata, che perdeva i dati privati inviati tramite SSL. Qual è il vero impatto?
Rispetto alla famosa perdita di bug HeartBleed, questo è simile in alcuni modi: l'esposizione della memoria non inizializzata significa che i dati privati non correlati sono divulgati.
Questo codice ha interessato solo in esecuzione su CloudFlare e il bug ha smesso di funzionare un'ora dopo la notifica. Nessun nuovo dato può essere trapelato tramite questo bug.
Se qualcuno fosse a conoscenza di questo bug, non potevano bersagliare un individuo con esso. Le sessioni di dumping sembrano casuali.
CloudFlare ha dei log e non hanno rivelato alcuna indicazione che qualcuno conoscesse e abbia sfruttato questo bug.
La dimensione dei dump di memoria non inizializzati è enorme. Catturano regolarmente intestazioni HTTP complete e sezioni sostanziali del corpo della richiesta. Questo praticamente dà via tutti i dati necessari per dirottare una sessione, e se una sessione di login è stata acquisita, ovviamente includerebbe la password.
Era la roulette della sessione libera. Le richieste ripetute di URL non validi si limiterebbero a scaricare sempre più dati casuali.
Se qualcuno ne fosse a conoscenza, potrebbe aver creato una pagina che gli ha causato la creazione di dump di dati di dimensioni quasi arbitrarie o anche solo più volte aver colpito un URL non valido esistente.
Un utente finale potrebbe essere compromesso senza alcun punto debole nella parte del sito Web o dell'utente.
Alcuni utenti sfortunati avranno ancora quei dati trapelati in cache dopo questa divulgazione, e saranno divulgati molto diffusamente. Se quei cookie di sessione non sono invalidati, è praticamente garantito che qualcuno acceda ai loro account.
Limitare le durate dei token di sessione e utilizzare un'autentica autenticazione a due fattori per affrontare la fuoriuscita di dati a lungo termine, impedendo a qualcuno di acquisire una sessione di lunga durata. I clienti di CloudFlare potrebbero invalidare tutti i cookie di sessione e forzare la rotazione di tutte le password, anche se è improbabile che ciò accada.
CloudFlare afferma che non sono state divulgate chiavi private SSL come hanno fatto la terminazione all'interno di processi separati, quindi mentre la classe di bug normalmente solleva preoccupazione in questo caso, non in questo caso particolare.
È una grande lezione nella comunità della sicurezza pensare a possibili bug a lungo termine che hanno un enorme raggio di esplosione. La maggior parte delle persone probabilmente non è influenzata, anche se, come notato sopra, alcune persone avranno perso la lotteria della Bad Luck.
Leggi altre domande sui tag incident-analysis known-vulnerabilities threat-modeling incident-response threat-mitigation