Suchen

HTTPS-Verschlüsselung ausgehebelt Sicherheitslücke in Cloudflare betrifft Millionen Webseiten

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Der CDN-Anbieter Cloudflare hatte einen massiven Bug, der Zugriff auf sensible Informationen wie Passwörter, API-Keys und ähnliches lieferte. Betroffen sind über 4,5 Millionen Domains, darunter viele namhafte Webseiten.

Firma zum Thema

Selbst ein Speicherleck, das nur bei einer von ca. 3,3 Millionen Anfragen sensitive Informationen ausspuckt wird bei einem vielgenutzten Dienst wie Cloudflare schnell zur verheerenden Flutwelle.
Selbst ein Speicherleck, das nur bei einer von ca. 3,3 Millionen Anfragen sensitive Informationen ausspuckt wird bei einem vielgenutzten Dienst wie Cloudflare schnell zur verheerenden Flutwelle.
(Bild: Pixabay / CC0 )

Cloudflare ist ein Anbieter, mit dem jeder Internetnutzer täglich in Berührung kommt und es normalerweise nie bemerkt. Das Unternehmen betreibt ein Content Delivery Network samt DNS, Kunden verspricht der Dienst eine optimierte Leistung, Schutz vor DDoS-Attacken und eine erhöhte Sicherheit.

Gerade im letzten Punkt muss der Anbieter jetzt eine Schwachstelle eingestehen. Und die hat es in sich: Zwischen September 2016 und Februar 2017 hat Cloudflare Passwörter, private Nachrichten, API-Schlüssel und andere sensitive Daten innerhalb zufälliger Anfragen herausgegeben. Schuld ist ein Speicherleck, das in etwa einem von 3,3 Millionen Anfragen sensitive Informationen ausspuckte. Das klingt nicht nach viel, aufgrund der Popularität des Dienstes führte es aber zu 100 000 bis 200 000 Seiten mit privaten Daten – täglich.

Bug wirft Speicher aus

Cloudflare modifiziert Webseiten, um diese schneller und (eigentlich) sicherer zu machen. Wird eine Seite von dem Dienst ausgeliefert, werden verschiedene Änderungen vorgenommen: Notwendige Tags für Google Analytics werden gesetzt, http-Links werden in https umgewandelt, E-Mail-Adressen werden maskiert, um sie gegen Bots zu schützen. Laut dem Blog von Cloudflare war es die Kombination dieser drei Funktionen, die den Bug auslöste. Zusammen mit den normalen Anfragen lieferte Cloudflare zusätzliche Daten aus, darunter Teile aus dem Speicher.

Gefunden wurde die Schwachstelle von Tavis Ormandy, der zu Googles Project Zero gehört. Er selbst schreibt, dass es deutliche Parallelen zum Heartbleed-Bug gibt, die Schwachstelle aber Cloudflare-spezifisch sei.

Mittlerweile ist der Bug zwar behoben, allerdings ist das Problem damit nicht ausgestanden. Die Seiten wurden von Suchmaschinen in deren Cache aufgenommen, die Daten lassen sich also mit den passenden Parametern immer noch finden.

Das müssen Administratoren und Nutzer tun

Der Bug ist weitreichend und das bedeutet für Nutzer ein groß angelegtes Passwort-Wechseln. Denn da die Daten noch immer in Caches durchs Web reisen, sollten die Zugangsdaten aller betroffenen Seiten geändert werden. Eine Liste aller betroffenen Domains ist hier auf GitHub. Zusätzlich sollten API-Keys rotiert und Zwei-Faktor-Anmeldesysteme aktiviert werden. Aktuell scheint es nicht so, als wäre die gezielte Abfrage von Informationen möglich gewesen. Aufgrund der enormen Datenmengen und des langen Zeitraums sollte man dennoch vorsichtig sein.

Entwarnung für Passwortmanager

Neben klassischen Webseiten nutzen auch verschiedene Passwort-Manager Cloudflare, allerdings gibt es keinen Hinweis darauf, dass Nutzerdaten an die Öffentlichkeit gelangt sind. 1Password hat bereits reagiert und beschreibt im Blog die zusätzlichen Sicherheitsmaßnahmen für Nutzeraccounts. LastPass schreibt auf Twitter, dass der Dienst Cloudflare nicht nutzt.

(ID:44544629)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist