Abo
  • IT-Karriere:

Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck

Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.

Artikel veröffentlicht am , Hanno Böck
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte.
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte. (Bild: Omer Gil)

Vor Webseiten geschaltete Caching-Services können zu einem Sicherheitsrisiko werden. Der Sicherheitsforscher Omer Gil präsentierte die sogenannte Web Cache Deception Attack bereits im Februar in einem Blogpost. Auf der Black-Hat-Konferenz hat er den Angriff nochmal im Detail erläutert.

Stellenmarkt
  1. Netze BW GmbH, Stuttgart, Karlsruhe
  2. BWI GmbH, Meckenheim, München

Viele Webseiten nutzen heute Services von Firmen wie Cloudflare oder Akamai, die vor die eigentliche Webseite vorgeschaltet werden und Anfragen schneller beantworten. Statische Dateien, also etwa Bilder, CSS-Dateien oder HTML-Seiten, die sich nicht verändern, können dabei von diesen Services in einem Cache gespeichert und somit schneller ausgeliefert werden, wenn ein anderer Nutzer diese Daten anfragt. Man spart sich einen zusätzlichen Request zur ursprünglichen Webseite.

Wichtig ist dabei aber natürlich, dass die gecachten Dateien keine geheimen Daten enthalten. Webseiten, die nur einem eingeloggten Nutzer angezeigt werden und individuell für diesen angepasst sind, dürfen nicht im Cache landen und an andere Nutzer ausgeliefert werden. Als Orientierung, welche Dateien gecacht werden können, nutzen viele Content-Delivery-Netzwerke (CDNs) die Dateiendung. CSS-Dateien oder Javascript ist beispielsweise in der Regel unproblematisch. Zumindest bei Javascript gibt es aber Ausnahmen, da auch diese Skripte manchmal dynamisch erzeugt werden. Das hat schon in anderen Situationen zu Angriffen geführt.

URL-Parser erlauben angehängte Nonsens-Daten

Die Idee der Web-Cache-Deception-Attack ist folgende: Manche Webanwendungen erlauben es, an eine URL beliebige Dinge anzuhängen. Besteht beispielsweise eine Seite https://www.example.com/account/ dann liefert ein Aufruf der URL https://www.example.com/account/invalid.css denselben Inhalt.

Der Hintergrund: Manche Webanwendungen nutzen einen URL-Dispatcher-Code, der den Pfad der URL prüft und an den entsprechenden Backend-Code weiterleitet. Wenn der URL-Dispatcher nur den Beginn einer URL vergleicht, kommt es zu diesem Verhalten. Gil zeigte ein Codebeispiel für Django, in dem die URL mit dem regulären Ausdruck ^inbox/ geprüft wird. Verhindern kann man dieses unerwünschte Verhalten mit einem regulären Ausdruck, der auch prüft, dass die URL hier zu Ende ist. Dieser würde dann ^inbox/$ lauten - das zusätzliche Dollar-Zeichen prüft das Stringende.

Der Angriff läuft nun folgendermaßen ab: Ein Angreifer lockt das Oper auf eine Seite mit einer URL der Form https://www.example.com/account/invalid.css - wie oben beschrieben. Wenn ein CDN einen Cache für die Seite bereitstellt und die Datei dank der CSS-Endung im Cache speichert, kann sie ein Angreifer anschließend dort selbst abrufen. Sind dort geheime Informationen abrufbar, kann der Angreifer sie auslesen.

CDN-Anbieter ignorieren HTTP-Cache-Header

Damit der Angriff funktioniert, muss allerdings noch etwas dazukommen. Über HTTP-Header kann eine Webseite kontrollieren, ob Seiten gecacht werden können. Dynamisch generierte Seiten sollten üblicherweise einen Header mitschicken, der das Cachen unterbindet. Aber offenbar ignorieren manche CDN-Services die Caching-Header, darunter auch Akamai, einer der größten Anbieter der Branche.

Bemerkenswert ist dabei ein Feature von Cloudflare. Cloudflare bietet an, dass der CDN-Cache die Cache-Header einer Anwendung ignoriert und trotzdem dem Nutzer Cache-Header schickt, die den Browser anweisen, eine Seite nicht zu cachen. Das erscheint in diesem Kontext ausgesprochen riskant. Cloudflare hat zwar in einem Blogbeitrag auf Gils Angriff reagiert, auf dieses problematische Feature wurde dort allerdings nicht eingegangen.

Gils Angriff ist durchaus praxisrelevant: Zum Zeitpunkt seiner Recherchen war die Paypal-Webseite verwundbar. Dabei konnte ein Angreifer den Namen des Nutzers, den aktuell im Account vorgehaltenen Geldbetrag, Informationen über Transaktionen, die Passnummer, die Adresse, Telefonnummer und die letzten vier Stellen der Kreditkartennummer auslesen. Paypal nutzte dabei Akamai als CDN.

Auf anderen Seiten, die Gil nicht nennt, hat er nach eigenen Angaben auch die Möglichkeit gefunden, den Account komplett zu übernehmen. Auf der gecachten Seite war ein Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen abrufbar.

Entwickler von Webanwendungen können sich vor derartigen Angriffen am besten schützen, indem sie solche URLs nicht zulassen. So sollte immer die gesamte URL geprüft werden - und wenn dort sinnlose Daten angehängt sind, sollte die Seite mit einem Fehler antworten. Doch auch CDN-Anbieter sollten hier handeln. Cache-Header zu ignorieren ist sicher generell keine gute Idee.



Anzeige
Hardware-Angebote
  1. ab 369€ + Versand
  2. 529,00€
  3. 114,99€ (Release am 5. Dezember)

schauma 28. Jul 2017

IMHO Die Sicherheitslücke liegt im Verhalten des Webservers. Er erstellt aus einer...

deutscher_michel 28. Jul 2017

Zum Einen: der Vorteil eines CDNs liegt in erster linie nicht in einem "Cache" zur...


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /