Abo
  • IT-Karriere:

Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck

Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.

Artikel veröffentlicht am , Hanno Böck
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte.
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte. (Bild: Omer Gil)

Vor Webseiten geschaltete Caching-Services können zu einem Sicherheitsrisiko werden. Der Sicherheitsforscher Omer Gil präsentierte die sogenannte Web Cache Deception Attack bereits im Februar in einem Blogpost. Auf der Black-Hat-Konferenz hat er den Angriff nochmal im Detail erläutert.

Stellenmarkt
  1. UDG United Digital Group, Mainz, Herrenberg, Karlsruhe, Ludwigsburg, Hamburg
  2. Streit Service & Solution GmbH & Co. KG, Hausach bei Villingen-Schwenningen

Viele Webseiten nutzen heute Services von Firmen wie Cloudflare oder Akamai, die vor die eigentliche Webseite vorgeschaltet werden und Anfragen schneller beantworten. Statische Dateien, also etwa Bilder, CSS-Dateien oder HTML-Seiten, die sich nicht verändern, können dabei von diesen Services in einem Cache gespeichert und somit schneller ausgeliefert werden, wenn ein anderer Nutzer diese Daten anfragt. Man spart sich einen zusätzlichen Request zur ursprünglichen Webseite.

Wichtig ist dabei aber natürlich, dass die gecachten Dateien keine geheimen Daten enthalten. Webseiten, die nur einem eingeloggten Nutzer angezeigt werden und individuell für diesen angepasst sind, dürfen nicht im Cache landen und an andere Nutzer ausgeliefert werden. Als Orientierung, welche Dateien gecacht werden können, nutzen viele Content-Delivery-Netzwerke (CDNs) die Dateiendung. CSS-Dateien oder Javascript ist beispielsweise in der Regel unproblematisch. Zumindest bei Javascript gibt es aber Ausnahmen, da auch diese Skripte manchmal dynamisch erzeugt werden. Das hat schon in anderen Situationen zu Angriffen geführt.

URL-Parser erlauben angehängte Nonsens-Daten

Die Idee der Web-Cache-Deception-Attack ist folgende: Manche Webanwendungen erlauben es, an eine URL beliebige Dinge anzuhängen. Besteht beispielsweise eine Seite https://www.example.com/account/ dann liefert ein Aufruf der URL https://www.example.com/account/invalid.css denselben Inhalt.

Der Hintergrund: Manche Webanwendungen nutzen einen URL-Dispatcher-Code, der den Pfad der URL prüft und an den entsprechenden Backend-Code weiterleitet. Wenn der URL-Dispatcher nur den Beginn einer URL vergleicht, kommt es zu diesem Verhalten. Gil zeigte ein Codebeispiel für Django, in dem die URL mit dem regulären Ausdruck ^inbox/ geprüft wird. Verhindern kann man dieses unerwünschte Verhalten mit einem regulären Ausdruck, der auch prüft, dass die URL hier zu Ende ist. Dieser würde dann ^inbox/$ lauten - das zusätzliche Dollar-Zeichen prüft das Stringende.

Der Angriff läuft nun folgendermaßen ab: Ein Angreifer lockt das Oper auf eine Seite mit einer URL der Form https://www.example.com/account/invalid.css - wie oben beschrieben. Wenn ein CDN einen Cache für die Seite bereitstellt und die Datei dank der CSS-Endung im Cache speichert, kann sie ein Angreifer anschließend dort selbst abrufen. Sind dort geheime Informationen abrufbar, kann der Angreifer sie auslesen.

CDN-Anbieter ignorieren HTTP-Cache-Header

Damit der Angriff funktioniert, muss allerdings noch etwas dazukommen. Über HTTP-Header kann eine Webseite kontrollieren, ob Seiten gecacht werden können. Dynamisch generierte Seiten sollten üblicherweise einen Header mitschicken, der das Cachen unterbindet. Aber offenbar ignorieren manche CDN-Services die Caching-Header, darunter auch Akamai, einer der größten Anbieter der Branche.

Bemerkenswert ist dabei ein Feature von Cloudflare. Cloudflare bietet an, dass der CDN-Cache die Cache-Header einer Anwendung ignoriert und trotzdem dem Nutzer Cache-Header schickt, die den Browser anweisen, eine Seite nicht zu cachen. Das erscheint in diesem Kontext ausgesprochen riskant. Cloudflare hat zwar in einem Blogbeitrag auf Gils Angriff reagiert, auf dieses problematische Feature wurde dort allerdings nicht eingegangen.

Gils Angriff ist durchaus praxisrelevant: Zum Zeitpunkt seiner Recherchen war die Paypal-Webseite verwundbar. Dabei konnte ein Angreifer den Namen des Nutzers, den aktuell im Account vorgehaltenen Geldbetrag, Informationen über Transaktionen, die Passnummer, die Adresse, Telefonnummer und die letzten vier Stellen der Kreditkartennummer auslesen. Paypal nutzte dabei Akamai als CDN.

Auf anderen Seiten, die Gil nicht nennt, hat er nach eigenen Angaben auch die Möglichkeit gefunden, den Account komplett zu übernehmen. Auf der gecachten Seite war ein Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen abrufbar.

Entwickler von Webanwendungen können sich vor derartigen Angriffen am besten schützen, indem sie solche URLs nicht zulassen. So sollte immer die gesamte URL geprüft werden - und wenn dort sinnlose Daten angehängt sind, sollte die Seite mit einem Fehler antworten. Doch auch CDN-Anbieter sollten hier handeln. Cache-Header zu ignorieren ist sicher generell keine gute Idee.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-87%) 4,99€
  3. 0,49€
  4. 4,60€

schauma 28. Jul 2017

IMHO Die Sicherheitslücke liegt im Verhalten des Webservers. Er erstellt aus einer...

deutscher_michel 28. Jul 2017

Zum Einen: der Vorteil eines CDNs liegt in erster linie nicht in einem "Cache" zur...


Folgen Sie uns
       


Honor 20 Pro - Hands on

Das Honor 20 Pro ist das neue Oberklasse-Smartphone der Huawei-Tochter. Als Besonderheit gibt es eine Vierfachkamera, um für möglichst viele Objektivsituationen gewappnet zu sein. Hinweis vom Hersteller: "Bei den gezeigten Geräten der Honor-20-Serie handelt es sich um Demoversionen, die sich in Aussehen und Funktion von der finalen Version unterscheiden können."

Honor 20 Pro - Hands on Video aufrufen
e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  2. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  3. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

    •  /