Dữ liệu người dùng của Uber, Fitbit, Ok Cupid, 1Password và các công ty hàng đầu đã bị rủi ro trong nhiều tuần cùng nhau do lỗ hổng CloudFlare nghiêm trọng. Lỗi "Cloudbleed Bug" là do các máy chủ chạy qua bộ đệm và trả về bộ nhớ chứa thông tin cá nhân. Một cái gì đó tương tự cũng đã được thấy trong lỗi chảy máu trái tim được báo cáo vào năm 2014. Lỗ hổng bảo mật đã được báo cáo bởi nhà nghiên cứu bảo mật của Google, Tavis Ormandy. Graham-Cumming, CTO tại CloudFlare nói rằng rất khó để chỉ ra trang web nào trong số 6 triệu trang web đã bị ảnh hưởng. Một số chuyên gia bảo mật tin rằng Cloudbleed có nhiều tác động hơn CloudFlare đang tuyên bố.
Hậu quả của Lỗ hổng Cloudflare
Một số dịch vụ của CloudFlare dựa vào việc phân tích cú pháp HTML và sửa đổi nó ngay lập tức. Cloudflare đang sử dụng trình phân tích cú pháp được viết bằng ragel và năm ngoái đã quyết định viết trình phân tích cú pháp của riêng họ. Cả ragel và trình phân tích cú pháp mới đều được triển khai dưới dạng mô-đun nginx. Mặc dù lỗi gây ra lỗ hổng bảo mật luôn xuất hiện trong trình phân tích cú pháp ragel, nhưng khi trình phân tích cú pháp mới được giới thiệu, cách trình phân tích cú pháp tương tác với máy chủ đã thay đổi. Điều này gây ra tràn bộ nhớ và do đó lỗ hổng bảo mật xuất hiện. Phân tích sâu về nguyên nhân có thể tham khảo tại đây. Hậu quả trực tiếp của Cloudbleed là:
- Công cụ tìm kiếm đã lưu vào bộ nhớ cache nhiều dữ liệu bị rò rỉ và đang hiển thị chúng trên kết quả tìm kiếm
- Rò rỉ các cuộc trò chuyện cá nhân trên các trang web xã hội / hẹn hò
- Rò rỉ thông tin nhận dạng người dùng
- Cookie / thông tin IP
Các bước phòng ngừa ngay lập tức
- Thay đổi mật khẩu của bạn. Ngay từ FTP, cpanel, bảng quản trị cho đến tất cả những thứ khác.
- Buộc thay đổi mật khẩu cho người dùng của bạn
- Nếu có thể, hãy sử dụng xác thực hai yếu tố
- Xoá bộ nhớ cache của trang web của bạn. Xóa bộ nhớ cache cũ.
Các câu hỏi đã nêu ra
Ông Troy Hunt, Nhà truyền bá an ninh mạng cho biết trong blog của mình:
Kể từ khi xuất hiện lỗ hổng này, lập trường của CloudFlare rất kiên quyết và thẳng thắn. Cả CEO và CTO của CloudFlare đều đã đưa ra những tuyên bố công khai và chịu trách nhiệm về tình hình. Tuy nhiên, toàn bộ sự cố này đặt ra câu hỏi về các giải pháp proxy ngược mong bạn định tuyến lưu lượng truy cập web của mình qua chúng. Hậu quả lớn nhất của các giải pháp này là nếu máy chủ bị tấn công, tất cả các trang web sẽ bị sập. Như đã thấy với CloudFlare, với một lỗ hổng, hàng triệu trang web đã gặp rủi ro.
Chúng tôi đã tương tác với Rafay Baloch, một nhà nghiên cứu và tác giả bảo mật nổi tiếng để lấy ý kiến của anh ấy về chủ đề này. Đây là những gì Rafay phải nói:
Một điểm rất thú vị của Rafay thực sự. Các công ty bảo mật không nên bỏ qua sức mạnh của các nhà nghiên cứu bảo mật và khả năng của họ để vượt qua các WAF tốt nhất trên thế giới. Chúng tôi sẽ sớm viết thêm về chủ đề một giải pháp bảo mật hoàn chỉnh nên chứa thành phần "Tiết lộ có trách nhiệm" như thế nào.
Trong khi xây dựng Astra, một lý do chính khiến chúng tôi không sử dụng triển khai proxy ngược là để tránh tình huống như thế này khi tất cả người dùng của chúng tôi gặp rủi ro vì một lỗ hổng trong cơ sở hạ tầng của chúng tôi.