Sebuah kerentanan kritis kali ini telah ditemukan dalam content delivery ner (CDN) CloudFlare. Kerentanan ini dinamakan Cloudbleed. Yang mana bisa menyebabkan website mengekspos key session pribadi dan data sensitif lainnya. CloudFlare merupakan sebuah jasa content delivery network (CDN) dan penyedia keamanan web yang membantu mengoptimalkan keamanan.
Bug kritis yang kali ini ditemukan bisa membahayakan berbagai informasi sensitif. Termasuk password, cookie dan token yang digunakan untuk otentikasi.
Cloudbleed merupakan kerentanan yang sama seperti bug Heartbleed yang ditemukan pada tahun 2014. Namun Cloudbleed diyakini lebih parah dari Heartbleed.
Kerentanan ini begitu parah sehingga tidak hanya mempengaruhi situs pada jaringan CloudFlare, tetapi mempengaruhi aplikasi mobile juga.
Apa sebenarnya “Cloudbleed” itu? Bagaimana cara kerjanya? Seberapa berpengaruh bug ini? dan Bagaimana kita dapat melindungi diri sendiri? Mari kita mencari tahu.
Apa itu Cloudbleed?
Ditemukan oleh Google Project Zero security researcher Tavis Ormandy lebih dari seminggu yang lalu. Cloudbleed adalah kelemahan utama dalam layanan infrastruktur internet Cloudflare. Cloudbleed menyebabkan kebocoran key session pribadi dan informasi sensitif lainnya di seluruh situs web host yang menggunakan CloudFlare.
CloudFlare bertindak sebagai proxy antara pengguna dan web server. Cache konten website yang berada di belakang jaringan global dan menurunkan jumlah permintaan ke server host asli. Menggunakan parsing konten melalui Cloudflare edge server untuk optimalisasi dan keamanan.
Hampir seminggu yang lalu, Ormandy menemukan masalah buffer overflow dengan Cloudflare edge server yang berjalan melewati akhir buffering. Kemudian mengembalikan memori yang berisi data pribadi seperti cookie HTTP, token otentikasi, serta HTTP POST bodies. Dengan beberapa data yang telah bocor oleh cache mesin pencari.
Bukti Seberapa Seriusnya Cloudbleed :
“Saya menemukan pesan pribadi dari situs kencan besar, pesan penuh dari layanan obrolan terkenal, data password manager online, frame dari situs video dewasa, dan data pemesanan hotel,” tulis Ormandy dalam posting blog bugs chromium yang diterbitkan hari kamis kemarin. “Kita bicara full HTTPS requests, client IP addresses, full responses, cookies, password, key, data, dan semuanya.”
Menurut Ormandy, Cloudflare memiliki fitur kode “ScrapeShield” yang mirip dengan ini:
int Length = ObfuscateEmailAddressesInHtml(&OutputBuffer, CachedPage); write(fd, OutputBuffer, Length);
Tetapi perusahaan itu tidak memeriksa jika terdapat sesuatu nilai negatif dari HTML yang berbahaya.
Fitur “ScrapeShield” Cloudflare ini mem-parsing dan obfuscates HTML. Tapi karena reverse proxy dibagi antara pelanggan, itu akan mempengaruhi semua pelanggan CloudFlare.
Ormandy menghubungi Cloudflare dan melaporkan tentang temuan-temuannya. Perusahaan mengidentifikasi penyebab masalah ini, dan segera menonaktifkan 3 minor fitur Cloudflare. Yaitu Email obfuscates, Server-side Excludes, dan juga Automatic HTTPS Rewrites. Yang mana menggunakan rantai HTML parser sama yang menyebabkan kebocoran.
Ormandy mengamati kunci enkripsi, password, cookies, potongan data POST, dan permintaan HTTPS untuk website terkemuka Cloudflare. Juga host dari pengguna lain dan segera menghubungi Cloudflare.
Sejak masalah CloudFlare diatasi pada hari Rabu, Ormandy memuat temuannya pada hari Kamis, menyusul kebijakan tujuh hari Project Zero’s for actively exploited attacks.
“Cloudflare selalu mengakhiri koneksi SSL melalui sebuah contoh terisolasi dari nginx yang tidak terpengaruh oleh bug ini,” Tulis Cloudflare CTO John Graham-Cumming dalam posting blog Cloudflare. “Bug dianggap serius karena memori bocor bisa saja berisi informasi pribadi dan cache oleh mesin pencari.”
“Kami mengungkapkan masalah ini sekarang karena kami puas bahwa cache mesin pencari kini telah dibersihkan dari informasi sensitif,” tambahnya. “Kami juga tidak menemukan bukti eksploitasi berbahaya dari bug atau laporan lain dari keberadaannya.”
Penyebab adanya Cloudbleed
Penyebab kerentanan Cloudbleed adalah untuk mencapai akhir buffer diperiksa dulu menggunakan operator kesetaraan dan pointer agar mampu melewati akhir buffer. Seandainya cek dilakukan menggunakan >= bukan == maka yang melompati akhir buffer akan tertangkap.
Cloudflare juga telah mengkonfirmasi bahwa dampak terbesar terjadi antara 13-18 Februari. Hampir satu dari setiap 3.300.000 permintaan HTTP melalui Cloudflare berpotensi mengakibatkan kebocoran memori. Yaitu sekitar 0,00003% dari permintaan. Namun, peneliti berpendapat bahwa penyedia DNS double-dealing, mengklaim bahwa kerentanan Cloudbleed telah ada selama berbulan-bulan, berdasarkan data cache Google.
Bagaimana Cloudbleed berpengaruh terhadap kita?
Ada sejumlah besar layanan dan situs web yang menggunakan parsing halaman HTML dan memodifikasi melalui Cloudflare edge server. Bahkan jika kita tidak menggunakan CloudFlare langsung, itu tidak berarti bahwa kita terhindar dari itu. Selalu ada kemungkinan bahwa situs yang kita kunjungi dan layanan web yang kita gunakan mungkin mempengaruhi kebocoran data kita.
Apalagi, jika kita menggunakan layanan Cloudflare di situs kita, kerentanan ini dapat mengekspos informasi sensitif yang mengalir antara server dan pengguna akhir melalui proxy CloudFlare.
Sementara bug layanan CloudFlare dengan cepat ditambal dan mengatakan dampak sebenarnya relatif kecil. Tapi data telah bocor terus-menerus sebelumnya selama berbulan-bulan. Beberapa data yang bocor ini di publik dari cache di mesin pencari seperti Google, Bing, Yahoo, telah dihapus. Akan tetapi beberapa mesin seperti DuckDuckGo masih menjadi tuan rumah dari data tersebut.
Juga, data yang bocor lainnya mungkin ada di layanan lain dan cache di seluruh Web, yang tidak mungkin untuk dihapus dari seluruh lokasi tersebut.
Cloudbleed Juga Mempengaruhi Mobile Apps
Cloudbleed juga mempengaruhi aplikasi mobile, karena, dalam banyak kasus. Banyak aplikasi yang dirancang untuk memanfaatkan backends sama seperti browser untuk pengiriman konten dan HTTPS (SSL/TLS).
Pengguna pada YCombinator telah mengkonfirmasi kehadiran data HTTP header untuk aplikasi seperti Discord, FitBit, dan Uber yang mencari melalui cache di mesin pencari DuckDuckGo.
Dalam sebuah analisis yang dilakukan oleh NowSecure, para peneliti telah menemukan sekitar 200 aplikasi iOS yang diidentifikasi menggunakan layanan Cloudflare. Selalu ada kemungkinan seseorang menemukan kerentanan ini sebelum Tavis Ormandy. Dan mungkin telah mengeksploitasi menggunakan kerentanan ini, meskipun tidak ada bukti yang mendukung teori ini.
Beberapa pelanggan utama Cloudflare dipengaruhi oleh kerentanan ini termasuk Uber, 1Password, FitBit, dan OkCupid. Namun, dalam sebuah posting blog yang diterbitkan oleh 1Password, perusahaan meyakinkan penggunanya bahwa tidak ada data sensitif yang bocor. Karena semua layanan telah dienkripsi.
Namun, daftar situs web yang telah berpotensi terkena dampak bug ini telah diterbitkan oleh pengguna, yang memiliki nama ‘pirates’ dalam GitHub. Diantaranya Coinbase, 4Chan, BitPay, DigitalOcean, Medium, ProductHunt, Transferwise , The Pirate Bay, Extra Torrent, BitDefender, Pastebin, Zoho, Feedly, Ashley Madison, Bleeping Computer, The Register, dan masih banyak lagi.
CloudFlare belum menyediakan daftar layanan apa saja yang terpengaruh, yang berarti bahwa ini bukan daftar lengkap.
Apa yang harus kita lakukan terhadap bug Cloudbleed?
Pengguna secara online sangat dianjurkan untuk me-reset password mereka untuk semua account. Sering-seringlah memantau aktivitas akun apapun, selalu cek apabila terdapat sesuatu yang janggal.
Selain itu, pelanggan yang menggunakan Cloudflare pada situs Web mereka disarankan untuk melakukan perubahan password untuk semua penggunanya.
