Cloudflare verliert durch Softwarefehler Millionen private Nutzerdaten

Cloudflare, ein Service der Performance und Sicherheit von Webseiten optimieren soll, hat Nutzer in einem Blogbeitrag darüber informiert, dass durch einen Bug sensible Informationen wie Passwörter und Cookies, die für die Authentifizierung von Nutzern genutzt werden, geleaked wurden. 5,5 Millionen Webseiten sollen derzeit die Dienste von Cloudflare in Anspruch nehmen.

Die Daten scheinen seit Ende September vergangenen Jahres offen einsehbar gewesen zu sein. Besonders interessant ist der Zeitraum zwischen dem 13. und dem 18. Februar. Hier wurden die Daten von verschiedenen Suchmaschinen, darunter auch Google, gespeichert. Angreifer waren während dieser Zeit in der Lage auf die Daten zuzugreifen. Dafür haben sie Anfragen an Web-Seiten geschickt, oder auch spezielle Anfragen an Google oder andere Suchmaschinen geschickt.

Eine Fitbit-Session eines Nutzers. Durch den Fehler “Cloudbleed” konnten die Daten dieser Session ausgelesen werden. (Bild: Project Zero/Google)

„Der Fehler war so schwerwiegend weil die ausgeflossenen Speicher auch private Informationen enthalten können und weil es von den Suchmaschinen gecached wurde“, wie Cloudflare-CTO John Graham den Vorgang in einem Blog erklärt. Cloudflare habe sich dazu entschieden, diesen Fehler öffentlich zu machen, nachdem die Informationen aus dem Chache der Suchmaschinen gelöscht worden seien. Zudem gebe es derzeit keine Hinweise darauf, dass diese Informationen für Angriffe ausgenutzt wurden.

Der eigentliche Fehler befindet sich in einem Parser von Cloudflare, der dafür genutzt wird, Web-Seiten zu modifizieren, wenn diese von den Servern von Cloudflare geprüft werden. Dabei wird unter anderem ein Google-Analytic-Tag gesetzt, Links werden in HTTPS umgewandelt, Web-Bots gefiltert und Mailadressen werden verborgen. Wenn der Parser zusammen mit Cloudflare-Features (email obfuscation, Server-side Excludes und Automatic HTTPS Rewrites) Einsatz kam, dann gab der Server zufällige Inhalte – vergleichbar mit dem OpenSSL-Bug Heartbleed – aus dem Arbeitsspeicher in http-Antworten aus.

Es gibt aber Unterschiede zu Heartbleed. So lässt sich der aktuelle Cloudflare-Bug nur bei gewissen mit Cloudflare geschützten Seiten ausnutzen und es wurden auch keine Schlüssel auf Ebene des Transport-Layers ausgegeben.

Nach dem Bekanntwerden reagierte Cloudflare schnell. Entsprechend wurde das Feature der E-Mail-Verschleierung deaktiviert und dadurch auch der unbeabsichtigte Memory-Leak. Nach etwa sechs Stunden war dann auch der Fehler im HTML-Parser behoben.

Entdeckt hat den Fehler der Google-Forscher Tavis Ormandy. Laut Ormandy sollen grundsätzlich alle Seiten betroffen sein, die Cloudflare nutzen. Ormandy hatte die Sicherheitsexperten bei Cloudflare über Twitter kontaktiert, die dann binnen einer Stunde einen ersten Fix liefern konnten. Im Anschluss an den finalen Fix des Problems und die Veröffentlichung des Fehler in dem oben genannten Blog erklärte Ormandy: „Der Blog enthält einen exzellenten Postmortem, aber er spielt das Risiko, das für die Anwender bestand, sehr stark herunter.“

Für einzelne Anwender sei das Risiko eher gering, dass wirklich vertrauliche Daten in falsche Hände gelangten, wie Cloudflare erklärt. CTO Graham empfiehlt jedoch, dass Anwender zumindest das Passwort ändern sollten. Auch der Sicherheitsexperte Ryan Lackey rät in einem Blog, dass Service-Provider zumindest theoretisch davon ausgehen sollten, dass sensible Daten ausgegeben wurden, und dass daher sämtliche Nutzer ihr Passwort zurücksetzen sollten und in Abhängigkeit des Sicherheitslevels weitere Schritte erwogen werden sollten.

Vor wenigen Tagen hatte Cloudflare zusammen mit anderen Sicherheitsanbietern in einer Studie zahlreichen Sicherheitsanbietern eine HTTPS Inception nachgewiesen. Die meisten Hersteller hatten aber bereits bei der Veröffentlichung der Untersuchung ihre Produkte entsprechend geändert.

[Mit Material von Martin Schindler, silicon.de]