Taggat med: CloudFlare

CloudBleed – Allvarligt minnesläckage från CloudFlare

CloudFlare (CF) är numera en vital och central del av internet. CF tillhandahåller CDN (Content Delivery Network), DNS och WAF (Web Application Firewall) för att nämna några funktioner.

För några dagar sedan så kontaktade Tavis Ormandy CF gällande att han sett saker i Googles sökresultat som inte hör hemma där. När sedan CF undersökte så hittade man en parser-bugg som gör att minne från deras servrar kunde skickas ut felaktigt.

Ungefär 0.00003% av samtliga http-förfrågningar som gick genom CF drabbades av denna bugg. Och vid undersökningar i Googles cache så identifierades 700 fall där minne läckt och cachats av Google.

Turligt nog så påverkas inte privata (TLS) SSL-nycklar eftersom viss uppdelning finns mellan processerna i CF:s servrar.

För en mer komplett lista över sajter som ligger hos CF se här:

Uppdatering 1: Nu har CF skickat ut ett mail till samtliga kunder. De skriver bl.a. följande:

”To date, we have yet to find any instance of the bug being exploited, but we recommend if you are concerned that you invalidate and reissue any persistent secrets, such as long lived session identifiers, tokens or keys. Due to the nature of the bug, customer SSL keys were not exposed and do not need to be rotated.”

Uppdatering 2: Svenska betaltjänst-leverantören Mondido samt Kraken har återställt samtliga lösenord. Jag hoppas att fler följer efter som använder CF.

Uppdatering 3: Cloudbleed kan även ha och göra med att Google själva nollställt samtliga inloggningar mot Googles egna tjänster. Så här kommenterar Tavis:

”Hi Tavis, could you tell us why a lot of people had to re-authenticate their Google accounts on their devices all of the sudden? It may not have been related, but Google definitely did something that had us all re-authenticate.”

”I couldn’t tell you, this is not the correct place to ask.”

Uppdatering 4: Har nu laddat hem .se-zonen och kontrollerat hur många som använder CF:s namnservrar vilket ger en fingervisning om hur många .se-domäner som kan potentiellt läckt information:

$ grep cloudflare se.zone |awk ‘{print $1}’|sort|uniq|wc -l
7827

Det kan även vara åt andra hållet. Dvs CF:s dyrare abonnemang så kan du köra med en egen namnserver men ändå nyttja CF:s tjänster.

Sajter som är sårbara för LuckyNegative20 CVE-2016-2107

LuckyNegative20

En av de sårbarheter vi skrev om i förrgår går under CVE-2016-2107 eller LuckyNegative20. Filippo Varsoda är en av de som genomfört en analys av buggen samt lagt upp en sajt för att testa om man är sårbar. Buggen återfinnes i en tidigare fix i biblioteket OpenSSL.

Så här skriver Filippo om buggen på CloudFlares blogg:

a skilled MitM attacker can recover at least 16 bytes of anything it can get the client to send repeatedly just before attacker-controlled data (like HTTP Cookies, using JavaScript cross-origin requests).

A more skilled attacker than me might also be able to decrypt more than 16 bytes, but no one has shown that it’s possible yet.

Vi har genomfört en skanning på några svenska sajter, och många är sårbara. Men som ovan skriver så kräver det att du kan sitta i mitten för att utnyttja attacken.

Listan med sajter

  • aftonbladet.se
  • bankomat.se
  • bth.se
  • cert.se
  • coresec.se
  • detectify.com
  • di.se
  • dn.se
  • expressen.se
  • forsakringskassan.se
  • fxm.se
  • halon.se
  • hd.se
  • kau.se
  • liu.se
  • mdh.se
  • metro.se
  • migrationsverket.se
  • nwt.se
  • oru.se
  • ownit.se
  • privataaffarer.se
  • romab.com
  • sectra.com
  • sentor.se
  • specialfastigheter.se
  • spp.se
  • svtplay.se
  • svt.se
  • tre.se
  • volvofinans.se
  • www3.skatteverket.se (används av Skatteverkets App)

Listan ovan baseras på denna.

DDoS-attack mot mediasajter

Igår Lördag strax innan kl 20 på kvällen så genomförde någon en DDoS-attack mot flertalet stora svenska mediasajter. Sajter såsom Aftonbladet gick inte att nå på över en timme, och det är ännu oklart exakt vilka sajter som stod som mål.

Attacken var tydlig på de grafer som är publikt tillgängliga från Netnod. Och det vi ser nedan är datatrafik som kommer från ryska internetoperatörer:

Netnod DDoS
Sammanställning av @SandraForesti

Att hyra någon att utföra DDoS-attack är inte speciellt dyrt och det som händer är att operatören troligtvis börjat att filtrera trafiken. Tittar vi via Telias looking-glass i Moskva så går det inte att nå Aftonbladet just nu via Telia i Ryssland.

Priserna för att hyra en DDoS-attack på svarta marknaden varierar en hel del men här är några exempelpriser:

booter-prices

 

Bakom attacker står troligtvis servrar med bra kapacitet som blivit hackade via WordPress, standardlösenord eller forcerade lösenord. Attacker tidigare mot bl.a. Regeringen använde JS LOIC men inte troligt i detta fall.

Med hjälp av trafikinspelning i PCAP-format exempelvis så skulle det gå relativt snabbt att ta reda på hur attacken utfördes. Även kan det vara möjligt att skapa motverkansmedel mot attacken om man vet i detalj hur den fungerar.

Reklam: Anlita Triop AB för att analysera DDoS-attacker

Sist men inte minst så är det också viktigt att skriva något hur mediasajters webb är uppbyggd. För att stå emot en attack som denna så bör anycast användas, och det finns flera leverantörer såsom Akamai, CloudFlare och Amazon CloudFront som kan leverera detta.

Även kan följande skrift vara bra att läsa med jämna mellanrum:

MSB Att hantera överbelastningsattacker
MSB Att hantera överbelastningsattacker