Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck

Black Hat 2017

Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.

Artikel veröffentlicht am , Hanno Böck
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte.
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte. (Bild: Omer Gil)

Vor Webseiten geschaltete Caching-Services können zu einem Sicherheitsrisiko werden. Der Sicherheitsforscher Omer Gil präsentierte die sogenannte Web Cache Deception Attack bereits im Februar in einem Blogpost. Auf der Black-Hat-Konferenz hat er den Angriff nochmal im Detail erläutert.

Viele Webseiten nutzen heute Services von Firmen wie Cloudflare oder Akamai, die vor die eigentliche Webseite vorgeschaltet werden und Anfragen schneller beantworten. Statische Dateien, also etwa Bilder, CSS-Dateien oder HTML-Seiten, die sich nicht verändern, können dabei von diesen Services in einem Cache gespeichert und somit schneller ausgeliefert werden, wenn ein anderer Nutzer diese Daten anfragt. Man spart sich einen zusätzlichen Request zur ursprünglichen Webseite.

Wichtig ist dabei aber natürlich, dass die gecachten Dateien keine geheimen Daten enthalten. Webseiten, die nur einem eingeloggten Nutzer angezeigt werden und individuell für diesen angepasst sind, dürfen nicht im Cache landen und an andere Nutzer ausgeliefert werden. Als Orientierung, welche Dateien gecacht werden können, nutzen viele Content-Delivery-Netzwerke (CDNs) die Dateiendung. CSS-Dateien oder Javascript ist beispielsweise in der Regel unproblematisch. Zumindest bei Javascript gibt es aber Ausnahmen, da auch diese Skripte manchmal dynamisch erzeugt werden. Das hat schon in anderen Situationen zu Angriffen geführt.

URL-Parser erlauben angehängte Nonsens-Daten

Die Idee der Web-Cache-Deception-Attack ist folgende: Manche Webanwendungen erlauben es, an eine URL beliebige Dinge anzuhängen. Besteht beispielsweise eine Seite https://www.example.com/account/ dann liefert ein Aufruf der URL https://www.example.com/account/invalid.css denselben Inhalt.

Der Hintergrund: Manche Webanwendungen nutzen einen URL-Dispatcher-Code, der den Pfad der URL prüft und an den entsprechenden Backend-Code weiterleitet. Wenn der URL-Dispatcher nur den Beginn einer URL vergleicht, kommt es zu diesem Verhalten. Gil zeigte ein Codebeispiel für Django, in dem die URL mit dem regulären Ausdruck ^inbox/ geprüft wird. Verhindern kann man dieses unerwünschte Verhalten mit einem regulären Ausdruck, der auch prüft, dass die URL hier zu Ende ist. Dieser würde dann ^inbox/$ lauten - das zusätzliche Dollar-Zeichen prüft das Stringende.

Der Angriff läuft nun folgendermaßen ab: Ein Angreifer lockt das Oper auf eine Seite mit einer URL der Form https://www.example.com/account/invalid.css - wie oben beschrieben. Wenn ein CDN einen Cache für die Seite bereitstellt und die Datei dank der CSS-Endung im Cache speichert, kann sie ein Angreifer anschließend dort selbst abrufen. Sind dort geheime Informationen abrufbar, kann der Angreifer sie auslesen.

CDN-Anbieter ignorieren HTTP-Cache-Header

Damit der Angriff funktioniert, muss allerdings noch etwas dazukommen. Über HTTP-Header kann eine Webseite kontrollieren, ob Seiten gecacht werden können. Dynamisch generierte Seiten sollten üblicherweise einen Header mitschicken, der das Cachen unterbindet. Aber offenbar ignorieren manche CDN-Services die Caching-Header, darunter auch Akamai, einer der größten Anbieter der Branche.

Bemerkenswert ist dabei ein Feature von Cloudflare. Cloudflare bietet an, dass der CDN-Cache die Cache-Header einer Anwendung ignoriert und trotzdem dem Nutzer Cache-Header schickt, die den Browser anweisen, eine Seite nicht zu cachen. Das erscheint in diesem Kontext ausgesprochen riskant. Cloudflare hat zwar in einem Blogbeitrag auf Gils Angriff reagiert, auf dieses problematische Feature wurde dort allerdings nicht eingegangen.

Gils Angriff ist durchaus praxisrelevant: Zum Zeitpunkt seiner Recherchen war die Paypal-Webseite verwundbar. Dabei konnte ein Angreifer den Namen des Nutzers, den aktuell im Account vorgehaltenen Geldbetrag, Informationen über Transaktionen, die Passnummer, die Adresse, Telefonnummer und die letzten vier Stellen der Kreditkartennummer auslesen. Paypal nutzte dabei Akamai als CDN.

Auf anderen Seiten, die Gil nicht nennt, hat er nach eigenen Angaben auch die Möglichkeit gefunden, den Account komplett zu übernehmen. Auf der gecachten Seite war ein Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen abrufbar.

Entwickler von Webanwendungen können sich vor derartigen Angriffen am besten schützen, indem sie solche URLs nicht zulassen. So sollte immer die gesamte URL geprüft werden - und wenn dort sinnlose Daten angehängt sind, sollte die Seite mit einem Fehler antworten. Doch auch CDN-Anbieter sollten hier handeln. Cache-Header zu ignorieren ist sicher generell keine gute Idee.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Lego-kompatibel
Klemmbaustein mit Display zeigt künstlichen Horizont

Der kleine, Lego-kompatible Klemmbaustein hat ein kleines Display eingebaut, auf dem ein funktionierender künstlicher Horizont läuft.

Lego-kompatibel: Klemmbaustein mit Display zeigt künstlichen Horizont
Artikel
  1. MediaTek: Ericsson erreicht durch Frequenzbündelung 4,36 GBit/s
    MediaTek
    Ericsson erreicht durch Frequenzbündelung 4,36 GBit/s

    Viel C-Band und 1.695 bis 2.200 MHz haben Ericsson und Mediatek gebündelt. Damit könnte FWA verbessert werden.

  2. BUND: Kritik an THG-Quote und kostenlosen E-Parkplätzen
    BUND
    Kritik an THG-Quote und kostenlosen E-Parkplätzen

    Nach Ansicht von Umweltschützern ist die THG-Prämie kontraproduktiv. Und kostenlose Parkplätze für Elektroautos schafften falsche Anreize.

  3. Gegen Handelsblockade: Neue Freiheit für Chinas Halbleiterbranche
    Gegen Handelsblockade
    Neue Freiheit für Chinas Halbleiterbranche

    China fehlt der Chip-Nachschub aus Taiwan, mit mehr Freiheit für heimische Hersteller will die Regierung gegensteuern. Ein Manager hat seine Freiheit aber offenbar verloren.
    Eine Analyse von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • NBB Black Weeks: Rabatte bis 60% • PS5 + Resident Evil 4 Remake 569€ • LG OLED TV -57% • WD SSD 2TB (PS5) 167,90€ • MindStar: Ryzen 9 7900X3D 625€ • Amazon Coupon-Party • Gainward RTX 3090 1.206€ • Samsung ext. SSD 2TB 159,90€ • Neue RAM-Tiefstpreise • Bosch Professional [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /