HTTPS-Verschlüsselung ausgehebelt

Sicherheitslücke in Cloudflare betrifft Millionen Webseiten

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Selbst ein Speicherleck, das nur bei einer von ca. 3,3 Millionen Anfragen sensitive Informationen ausspuckt wird bei einem vielgenutzten Dienst wie Cloudflare schnell zur verheerenden Flutwelle.
Selbst ein Speicherleck, das nur bei einer von ca. 3,3 Millionen Anfragen sensitive Informationen ausspuckt wird bei einem vielgenutzten Dienst wie Cloudflare schnell zur verheerenden Flutwelle. (Bild: Pixabay / CC0)

Der CDN-Anbieter Cloudflare hatte einen massiven Bug, der Zugriff auf sensible Informationen wie Passwörter, API-Keys und ähnliches lieferte. Betroffen sind über 4,5 Millionen Domains, darunter viele namhafte Webseiten.

Cloudflare ist ein Anbieter, mit dem jeder Internetnutzer täglich in Berührung kommt und es normalerweise nie bemerkt. Das Unternehmen betreibt ein Content Delivery Network samt DNS, Kunden verspricht der Dienst eine optimierte Leistung, Schutz vor DDoS-Attacken und eine erhöhte Sicherheit.

Gerade im letzten Punkt muss der Anbieter jetzt eine Schwachstelle eingestehen. Und die hat es in sich: Zwischen September 2016 und Februar 2017 hat Cloudflare Passwörter, private Nachrichten, API-Schlüssel und andere sensitive Daten innerhalb zufälliger Anfragen herausgegeben. Schuld ist ein Speicherleck, das in etwa einem von 3,3 Millionen Anfragen sensitive Informationen ausspuckte. Das klingt nicht nach viel, aufgrund der Popularität des Dienstes führte es aber zu 100 000 bis 200 000 Seiten mit privaten Daten – täglich.

Bug wirft Speicher aus

Cloudflare modifiziert Webseiten, um diese schneller und (eigentlich) sicherer zu machen. Wird eine Seite von dem Dienst ausgeliefert, werden verschiedene Änderungen vorgenommen: Notwendige Tags für Google Analytics werden gesetzt, http-Links werden in https umgewandelt, E-Mail-Adressen werden maskiert, um sie gegen Bots zu schützen. Laut dem Blog von Cloudflare war es die Kombination dieser drei Funktionen, die den Bug auslöste. Zusammen mit den normalen Anfragen lieferte Cloudflare zusätzliche Daten aus, darunter Teile aus dem Speicher.

Gefunden wurde die Schwachstelle von Tavis Ormandy, der zu Googles Project Zero gehört. Er selbst schreibt, dass es deutliche Parallelen zum Heartbleed-Bug gibt, die Schwachstelle aber Cloudflare-spezifisch sei.

Mittlerweile ist der Bug zwar behoben, allerdings ist das Problem damit nicht ausgestanden. Die Seiten wurden von Suchmaschinen in deren Cache aufgenommen, die Daten lassen sich also mit den passenden Parametern immer noch finden.

Das müssen Administratoren und Nutzer tun

Der Bug ist weitreichend und das bedeutet für Nutzer ein groß angelegtes Passwort-Wechseln. Denn da die Daten noch immer in Caches durchs Web reisen, sollten die Zugangsdaten aller betroffenen Seiten geändert werden. Eine Liste aller betroffenen Domains ist hier auf GitHub. Zusätzlich sollten API-Keys rotiert und Zwei-Faktor-Anmeldesysteme aktiviert werden. Aktuell scheint es nicht so, als wäre die gezielte Abfrage von Informationen möglich gewesen. Aufgrund der enormen Datenmengen und des langen Zeitraums sollte man dennoch vorsichtig sein.

Entwarnung für Passwortmanager

Neben klassischen Webseiten nutzen auch verschiedene Passwort-Manager Cloudflare, allerdings gibt es keinen Hinweis darauf, dass Nutzerdaten an die Öffentlichkeit gelangt sind. 1Password hat bereits reagiert und beschreibt im Blog die zusätzlichen Sicherheitsmaßnahmen für Nutzeraccounts. LastPass schreibt auf Twitter, dass der Dienst Cloudflare nicht nutzt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44544629 / Sicherheitslücken)