Cloudflare verliert über Bug Millionen Nutzerdaten

Cloudflare informiert Nutzer in einem Blog darüber, dass durch einen Bug sensible Informationen wie Passwörter und Cookies, die für die Authentifizierung von Nutzern genutzt werden, geleaked wurden. Cloudflare ist ein Service, der die Performance und Sicherheit von Webseiten optimieren soll. Derzeit sollen rund 5,5 Millionen Webseiten die Dienste von Cloudflare in Anspruch nehmen.

Der Bug ist reichlich delikat und der Datenverlust scheint sehr umfassend zu sein. So sollen die Daten seit Ende September vergangenen Jahres offen einsehbar gewesen sein. Interessant aber scheint vor allem der Zeitraum zwischen dem 13. und dem 18. Februar zu sein. Hier wurden die Daten von verschiedenen Suchmaschinen, darunter auch Google, gespeichert. Währen dieser Zeit waren Angreifer in der Lage auf die Daten zuzugreifen. Dafür haben sie Anfragen an Web-Seiten geschickt, oder auch spezielle Anfragen an Google oder andere Suchmaschinen geschickt.

Cloud-Flare-CTO John Graham erklärt den Vorgang in einem Blog: “Der Fehler war so schwerwiegend weil die ausgeflossenen Speicher auch private Informationen enthalten können und weil es von den Suchmaschinen gecached wurde.” Nachdem die Informationen aus dem Chache der Suchmaschinen gelöscht worden sei, habe sich Cloudflare auch dazu entschieden, diesen Fehler öffentlich zu machen. Zudem gebe es derzeit keine Hinweise darauf, dass diese Informationen für Angriffe ausgenutzt wurden.

Der eigentliche Fehler liegt in einem Parser von Cloudflare. Der wird dafür eingesetzt, um Web-Seiten zu modifizieren, wenn diese von den Servern von Cloudflare geprüft werden. Dabei wird unter anderem ein Google-Analytic-Tag gesetzt, Links werden in HTTPS umgewandelt, Web-Bots gefiltert und Mailadressen werden verborgen. Wenn der Parser zusammen mit Cloudflare-Features (email obfuscation, Server-side Excludes und Automatic HTTPS Rewrites) Einsatz kam, dann gab der Server zufällige Inhalte – vergleichbar mit dem OpenSSL-Bug Heartbleed – aus dem Arbeitsspeicher in http-Antworten aus.

Doch gibt es auch Unterschiede zu Heartbleed: Der aktuelle Cloudflare-Bug lässt sich nur bei gewissen mit Cloudflare geschützten Seiten ausnutzen und es wurden auch keine Schlüssel auf Ebene des Transport-Layers ausgegeben.

Cloudflare reagierte nach dem Bekanntwerden schnell. So wurde das Feautre der E-Mail-Verschleierung deaktiviert und dadurch auch der unbeabsichtigte Memory-Leak. Nach etwa sechs Stunden war dann auch der Fehler im HTML-Parser behoben.

Entdeckt hat den Fehler der Google-Forscher Tavis Ormandy. Laut Ormandy sollen grundsätzlich alle Seiten betroffen sein, die Cloudflare nutzen.

Ormandy hatte die Sicherheitsexperten bei Cloudflare über Twitter kontaktiert, die dann binnen einer Stunde einen ersten Fix liefern konnten. Im Anschluss an den finalen Fix des Problems und die Veröffetlichung des Fehler s in dem oben genannten Blog erklärte Ormandy: “Der Blog enthält einen exzellenten Postmortem, aber er spielt das Risiko, das für die Anwender bestand, sehr stark herunter.”

Cloudflare erklärt, dass für einzelne Anwender das Risiko eher gering ist, dass wirklich vertrauliche Daten in Falsche Hände gelangten. CTO Graham empfiehlt jedoch, dass Anwender mindestens das Passwort geändert werden sollte. Auch der Sicherheits-Experte Ryan Lackey empfiehlt in einem Blog, dass Service-Provider zumindest theoretisch davon ausgehen sollten, dass sensible Daten ausgegeben wurden, und dass daher sämtliche Nutzer ihr Passwort zurücksetzen sollten und in Abhängigkeit des Sicherheitslevels weitere Schritte erwogen werden sollten.  

Vor wenigen Tagen hatte Cloudflare zusammen mit anderen Sicherheitsanbietern in einer Studie zahlreichen Sicherheitsanbietern eine HTTPS Inception nachgewiesen. Die meisten Hersteller hatten aber bereits bei der Veröffentlichung der Untersuchung ihre Produkte entsprechend geändert.