Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck

Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.

Artikel veröffentlicht am , Hanno Böck
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte.
Die Paypal-Webseite gab Daten auch preis, wenn man einen unsinnigen Dateinamen mit CSS-Endung anfügte. (Bild: Omer Gil)

Vor Webseiten geschaltete Caching-Services können zu einem Sicherheitsrisiko werden. Der Sicherheitsforscher Omer Gil präsentierte die sogenannte Web Cache Deception Attack bereits im Februar in einem Blogpost. Auf der Black-Hat-Konferenz hat er den Angriff nochmal im Detail erläutert.

Stellenmarkt
  1. Systemarchitekt/in (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. Scrum Master (m/w/d)
    Cegeka Deutschland GmbH, deutschlandweit (Home-Office)
Detailsuche

Viele Webseiten nutzen heute Services von Firmen wie Cloudflare oder Akamai, die vor die eigentliche Webseite vorgeschaltet werden und Anfragen schneller beantworten. Statische Dateien, also etwa Bilder, CSS-Dateien oder HTML-Seiten, die sich nicht verändern, können dabei von diesen Services in einem Cache gespeichert und somit schneller ausgeliefert werden, wenn ein anderer Nutzer diese Daten anfragt. Man spart sich einen zusätzlichen Request zur ursprünglichen Webseite.

Wichtig ist dabei aber natürlich, dass die gecachten Dateien keine geheimen Daten enthalten. Webseiten, die nur einem eingeloggten Nutzer angezeigt werden und individuell für diesen angepasst sind, dürfen nicht im Cache landen und an andere Nutzer ausgeliefert werden. Als Orientierung, welche Dateien gecacht werden können, nutzen viele Content-Delivery-Netzwerke (CDNs) die Dateiendung. CSS-Dateien oder Javascript ist beispielsweise in der Regel unproblematisch. Zumindest bei Javascript gibt es aber Ausnahmen, da auch diese Skripte manchmal dynamisch erzeugt werden. Das hat schon in anderen Situationen zu Angriffen geführt.

URL-Parser erlauben angehängte Nonsens-Daten

Die Idee der Web-Cache-Deception-Attack ist folgende: Manche Webanwendungen erlauben es, an eine URL beliebige Dinge anzuhängen. Besteht beispielsweise eine Seite https://www.example.com/account/ dann liefert ein Aufruf der URL https://www.example.com/account/invalid.css denselben Inhalt.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Der Hintergrund: Manche Webanwendungen nutzen einen URL-Dispatcher-Code, der den Pfad der URL prüft und an den entsprechenden Backend-Code weiterleitet. Wenn der URL-Dispatcher nur den Beginn einer URL vergleicht, kommt es zu diesem Verhalten. Gil zeigte ein Codebeispiel für Django, in dem die URL mit dem regulären Ausdruck ^inbox/ geprüft wird. Verhindern kann man dieses unerwünschte Verhalten mit einem regulären Ausdruck, der auch prüft, dass die URL hier zu Ende ist. Dieser würde dann ^inbox/$ lauten - das zusätzliche Dollar-Zeichen prüft das Stringende.

Der Angriff läuft nun folgendermaßen ab: Ein Angreifer lockt das Oper auf eine Seite mit einer URL der Form https://www.example.com/account/invalid.css - wie oben beschrieben. Wenn ein CDN einen Cache für die Seite bereitstellt und die Datei dank der CSS-Endung im Cache speichert, kann sie ein Angreifer anschließend dort selbst abrufen. Sind dort geheime Informationen abrufbar, kann der Angreifer sie auslesen.

CDN-Anbieter ignorieren HTTP-Cache-Header

Damit der Angriff funktioniert, muss allerdings noch etwas dazukommen. Über HTTP-Header kann eine Webseite kontrollieren, ob Seiten gecacht werden können. Dynamisch generierte Seiten sollten üblicherweise einen Header mitschicken, der das Cachen unterbindet. Aber offenbar ignorieren manche CDN-Services die Caching-Header, darunter auch Akamai, einer der größten Anbieter der Branche.

Bemerkenswert ist dabei ein Feature von Cloudflare. Cloudflare bietet an, dass der CDN-Cache die Cache-Header einer Anwendung ignoriert und trotzdem dem Nutzer Cache-Header schickt, die den Browser anweisen, eine Seite nicht zu cachen. Das erscheint in diesem Kontext ausgesprochen riskant. Cloudflare hat zwar in einem Blogbeitrag auf Gils Angriff reagiert, auf dieses problematische Feature wurde dort allerdings nicht eingegangen.

Gils Angriff ist durchaus praxisrelevant: Zum Zeitpunkt seiner Recherchen war die Paypal-Webseite verwundbar. Dabei konnte ein Angreifer den Namen des Nutzers, den aktuell im Account vorgehaltenen Geldbetrag, Informationen über Transaktionen, die Passnummer, die Adresse, Telefonnummer und die letzten vier Stellen der Kreditkartennummer auslesen. Paypal nutzte dabei Akamai als CDN.

Auf anderen Seiten, die Gil nicht nennt, hat er nach eigenen Angaben auch die Möglichkeit gefunden, den Account komplett zu übernehmen. Auf der gecachten Seite war ein Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen abrufbar.

Entwickler von Webanwendungen können sich vor derartigen Angriffen am besten schützen, indem sie solche URLs nicht zulassen. So sollte immer die gesamte URL geprüft werden - und wenn dort sinnlose Daten angehängt sind, sollte die Seite mit einem Fehler antworten. Doch auch CDN-Anbieter sollten hier handeln. Cache-Header zu ignorieren ist sicher generell keine gute Idee.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

schauma 28. Jul 2017

IMHO Die Sicherheitslücke liegt im Verhalten des Webservers. Er erstellt aus einer...

deutscher_michel 28. Jul 2017

Zum Einen: der Vorteil eines CDNs liegt in erster linie nicht in einem "Cache" zur...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /