CloudFlare の重大な脆弱性により機密データが漏洩する。リバース プロキシ ソリューションは価値がありますか?

Uber、Fitbit、Ok Cupid、1Password、および大手企業のユーザー データは、CloudFlare の重大な脆弱性により、数週間一緒に危険にさらされました。 「Cloudbleed バグ」は、サーバーがバッファを超えて実行され、個人情報を含むメモリが返されるために発生しました。 2014 年に報告された heartbleed バグでも同様のことが見られました。この脆弱性は、Google のセキュリティ研究者 Tavis Ormandy によって報告されました。 CloudFlare の CTO である Graham-Cumming 氏は、600 万の Web サイトのうちどれが影響を受けたかを指摘するのは難しいと述べています。多くのセキュリティ専門家は、Cloudbleed が CloudFlare が主張しているよりもはるかに大きな影響力を持っていると考えています。

Cloudflare 脆弱性の結果

CloudFlare のサービスの多くは、HTML の解析とその場での変更に依存しています。 Cloudflare は、ragel で書かれたパーサーを使用していましたが、昨年、独自のパーサーを作成することにしました。 nginx モジュールとしてデプロイされた、ragel と新しいパーサーの両方。脆弱性の原因となるバグは常に ragel パーサーに存在していましたが、新しいパーサーが導入されると、パーサーがサーバーとやり取りする方法が変わりました。これによりメモリ オーバーフローが発生し、脆弱性が表面化しました。原因の詳細な分析については、こちらを参照してください。 Cloudbleed の直接的な影響:

• 検索エンジンは流出した大量のデータをキャッシュし、検索結果に表示しています
• ソーシャル/出会い系サイトでの個人的なチャットの漏えい
• ユーザーの身元情報の漏えい
• Cookie/IP 情報

即時の予防措置

• パスワードを変更します。 FTP、Cpanel、管理パネルからその他すべてへ
• ユーザーにパスワードの変更を強制する
• 可能であれば、2 要素認証を使用してください
• ウェブサイトのキャッシュをクリアします。古いキャッシュを消去します。

提起された質問

サイバー セキュリティ エバンジェリストの Troy Hunt 氏は、ブログで次のように述べています。

この脆弱性が表面化して以来、CloudFlare のスタンスは非常に堅固で率直です。 CloudFlare の CEO と CTO の両方が公式声明を発表し、状況を担当しました。ただし、この事件全体は、Web トラフィックをルーティングすることを期待しているリバース プロキシ ソリューションについて疑問を投げかけています。このようなソリューションの最大の結果は、サーバーがハッキングされた場合、すべての Web サイトがダウンすることです。 CloudFlare で見られたように、1 つの欠陥で何百万もの Web サイトが危険にさらされました。

私たちは、著名なセキュリティ研究者であり著者でもある Rafay Baloch 氏と対話し、この件に関する彼の見解を聞きました。これはラフェイが言わなければならなかったことです:

Rafay による非常に興味深い点です。セキュリティ企業は、セキュリティ研究者の力と、世界最高の WAF をバイパスする彼らの能力を無視すべきではありません。完全なセキュリティ ソリューションに「責任ある開示」コンポーネントをどのように含める必要があるかについては、すぐに詳しく説明する予定です。

Astra の構築中に、リバース プロキシの実装を使用しなかった主な理由の 1 つは、インフラストラクチャの 1 つの脆弱性が原因ですべてのユーザーが危険にさらされるような状況を回避するためでした。