เมื่อวันศุกร์ที่ผ่านมา (17/02/2017) ทาง Cloudflare ได้รับแจ้งจาก Tavis Ormandy หนึ่งใน Google Project Zero Team ว่า Reverse Proxy ของ CloudFlare มีปัญหาทางด้านความปลอดภัย

ทาง Tavis แจ้งว่าได้รับ HTTP Response ที่แปลกๆและไม่สมบูรณ์จากการเรียก HTTP Request บางแบบ เมื่อ CloudFlare เข้าไปตรวจสอบพบว่าเกิดจากสภาวะแวดล้อมที่ไม่ปกติของ Reveser Proxy ทำให้ Reverse Proxy ของ Cloudflare ใช้งานเกิน Buffer แล้วเอา memory ของระบบตอบกลับไปให้แทนซึ่งภายในนั้นมีทั้ง HTTP Cookie, Authentication Token, HTTP POST และข้อมูลส่วนตัวอื่นๆ แต่ไม่มี SSL private key ของ CloudFlare เพราะ SSL connection จะมีการ terminate ที่ NGINX instance ที่แยกไว้ ทาง CloudFlare แจ้งอีกว่าข้อมูลเหล่านั้นบางส่วนถูก cache โดย Google อีกด้วย

จากการวิเคราะห์ทำให้ CloudFlare ตัดสินใจปิด feature 3 feature หลัก email obfuscation, Server-side Excludes และ Automatic HTTPS Rewrites ซึ่งมีการใช้ HTTP parser chain ซึ่งเป็นตัวปัญหาของเหตุการณ์ครั้งนี้ ณ​ ตอนนี้ไม่เกิดเหตุการณ์ส่งข้อมูลจาก memory อีกแต่อย่างใด อีกทั้งยังติดต่อกับ Google และ search engine อื่นๆอย่างใกล้ชิดเพื่อลบข้อมูลเหล่านี้ออกจาก cache ของ search engine

หลังจากถูกแจ้งปัญหานี้ ทาง CloudFlare ได้ทำการค้นหาต้นตอและแก้ไขปัญหาโดยใช้เวลาเพียง 7 ชม.เท่านั้น อีกทั้จากกตรวจสอบช่วงเวลาที่เกิดเหตุทั้งหมดพบว่า ตั้งแต่วันที่ 13 -18 กุมภาพันธ์ 2017 มีแต่ 1 ใน 3,300,000 HTTP Request เท่านั้นที่จะพบข้อมูลรั่วไหล ซึ่งประมาณ 0.00003% request เท่านั้น ซึ่งจากการตรวจสอบพบว่าเป็นปัญหาของ Ragel parser ที่ใช้สำหรับการแก้ไข HTTP Response ครับ

โดยจากเหตุการณ์นี้ทาง Tavis ให้ชื่อว่า CloudBleed อีกทั้งมีการทำ Logo ของช่องโหว่ด้วยครับ

หากใครอยากทราบถึง root-cause สามารถดูได้จาก Link ด้านล่างครับ

Source::