Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов

В одной из крупнейших сетей доставки контента Cloudflare выявлена ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфиденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed" по аналогии с уязвимостью "Heartbleed".

Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы. Пик утечки пришёлся на 13-18 февраля, в эти дни ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков памяти, которые могли содержать приватные данные сайтов.

Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками через отправку типовых поисковых запросов. Представители Cloudflare выявили в кэше Google, Bing и Yahoo 770 уникальных ссылок, содержащих утечки блоков памяти (Google вычистил проблемные страницы из поискового индекса и кэша, но в Bing и Yahoo такие страницы до сих пор сохранены). По предварительной оценке в числе вероятных жертв проблемы насчитывается около 4.3 млн доменов, среди которых многие известные сайты, в том числе отечественные, которые были клиентами Cloudflare.

Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц (например, замены ссылок с http:// на https://, скрытия email-адресов и защиты частей страницы от вредоносных ботов). Парсер был написан с использованием компилятора Ragel и содержал ошибку в условии проверки конца буфера. В частности, указатель проверялся на то, равен ли он концу буфера, но не учитывалась ситуация, когда указатель мог указывать за пределы конца буфера (т.е. вместо оператора "больше или равно", использовался оператор "равно").

Проблема проявлялась при наличии в обрабатываемой странице определённой комбинации несбалансированных HTML-тегов, например, когда в конце страницы находится незакрытый тег "‹script type=". Из-за ошибки к ответу на запрос присоединялся неинициализированный кусок памяти, следующий за концом рабочего буфера, который содержал данные, используемые в результате обработки других запросов на том же прокси-сервере. Например, читая какой-то сайт можно было получить в довесок блок с данными, который мог содержать пароль или сессионные cookie клиентов Uber, 1Password, FitBit, OKCupid или Digitalocean. При особой удаче можно было получить приватный ключ, используемый для организации соединения между серверами Cloudflare.