https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

클라우드플레어의 파서에서 특정 HTML을 파싱할 때 메모리의 내용 중 일부가 무작위로 보내지는 취약점이 발견되었습니다.(글쓰는 현재 시점에서는 수정되어 있습니다) 파서는 이메일 암호화, Server side exclude, Automatic HTTPS Rewrites 세 기능을 지원하기 위해 사용되었으며 유출되었을 수도 있는 내용에는 HTTP 쿠키, 요청 본문, HTTP POST 본문 등이 있다고 합니다.(하트블리드 사태때와는 달리 HTTPS 인증서 개인키 등은 유출될 수 없는 상황이었다고 합니다)

 

자세한 기술적인 내용은 링크에 자세히 적혀 있습니다.

  • profile

    클라우드플레어 측에서 발표한 내용은 기술적인 디테일에만 치중하고 사건의 심각성을 축소하려는 의도가 보입니다. 취약점을 발견한 구글 엔지니어들에 따르면 몇 년 전 난리가 났던 하트블리드 취약점만큼이나, 아니 그것보다 더 심각한 문제가 될 수도 있다고 하는데요...

     

    구글 측의 버그 발견 및 클플과의 긴밀한 협조 과정은 여기에 나옵니다. (영문)

    https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

     

    이번 사건에 대한 해커 뉴스 토론 페이지입니다. (영문)

    https://news.ycombinator.com/item?id=13718752

     

    하트블리드에 빗대어 "클라우드블리드"라는 이름과 로고까지 벌써 나왔습니다 ㅡ.ㅡ

     

     

    지난 주 금요일경 클플을 사용하는 몇몇 사이트를 구글봇이 긁어오다가 이상한 데이터가 섞여 있는 것을 발견한 것이 사건의 발단입니다. 이상한 데이터를 구글 개발자들이 분석해 보니 전혀 무관한 사이트의 내용은 물론이고 쿠키와 비번 등 민감한 개인정보까지 마구 섞여 있었다고 하네요. 클플을 사용하는 사이트들끼리 데이터가 섞인 것이지요.

     

    "The examples we're finding are so bad, I cancelled some weekend plans to go into the office on Sunday to help build some tools to cleanup. I've informed cloudflare what I'm working on. I'm finding private messages from major dating sites, full messages from a well-known chat service, online password manager data, frames from adult video sites, hotel bookings. We're talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything."

     

    버그를 처음 발견한 구글 엔지니어 '태비스 오르만디'에 따르면 모 데이팅 사이트 사용자들이 주고받은 쪽지, 유명한 채팅 서비스의 채팅 기록, 각종 비번, 야동 스샷, 호텔 예약 정보 등이 다른 사이트 소스와 마구 섞여서 표시되었다고 합니다 ㄷㄷㄷ

     

    버그가 발생한 사이트는 클플 측의 발표에 따르면 161개이지만 해외 개발자 커뮤니티에서 들리는 루머에 따르면 최대 4천여 개가 될 수도 있다고 합니다. 문제는 클플 시스템의 특성상 버그가 발생한 사이트뿐 아니라 그들과 같은 지점(ICN, LAX 등)을 경유하여 접속되는 다른 사이트의 데이터도 마구 섞였을 수 있기 때문에, 클플을 사용하는 전세계 4백만 개 이상의 사이트 중 어느 누가 피해를 보았을지 모른다는 것입니다. (나무위키에 느닷없이 일베 내용이 섞여서 나온다거나, 오유에 댓글을 썼더니 더쿠 비번이 뙇! 나오는 식이었다고 이해하시면 됩니다. 이것은 이해를 돕기 위한 예제일 뿐이고, 실제로 나무위키나 더쿠 등이 피해를 보았는지는 알 수 없습니다.)

     

    구글 측의 일방적인 주장일 수도 있지만, 구글이 클플과 딱히 경쟁관계에 있는 것도 아니고 일부러 클플에게 안 좋은 얘기를 퍼뜨릴 이유도 없으니... 털린 쪽에서 어떻게든 고객 유출을 막으려고 빙빙 돌려서 하는 말보다는 구글 엔지니어의 설명에 더 신뢰가 가는 것은 사실입니다.

     

    버그 발견 후 공개하기까지 1주일간 클플 직원들과 구글 보안팀은 주말을 반납하고 긴밀한 협력을 통해 개인정보가 노출되었을 위험이 있는 주소들을 구글 캐시에서 제거하는 작업을 했다고 하는데요... 그러나 네이버, 바이두 등 다른 검색엔진들이 긁어간 데이터는 어떻게 되었는지 모릅니다. 클플이 알려준 주소들을 구글 캐시에서 지운 후에도 여전히 우버(Uber), 핏빗(Fitbit) 등 유명 서비스 사용자들의 개인정보가 검색된다는 얘기가 들리는 것으로 보아, 어떤 주소에서 개인정보가 유출되었는지 클플조차도 제대로 파악하지 못하고 있을 가능성이 있습니다.

     

    국내에서는 예전만 못한 속도 때문에 안 그래도 클플에 대한 불만이 고조되고 있는데, 이번 보안사고가 클플의 미래에 어떤 영향을 줄지 걱정이 됩니다. 클플을 사용하면 보안이 향상된다는 광고멘트를 더이상 믿을 수 없게 되었고, 무엇보다도 CDN 때문에 전혀 생각지도 못한 보안사고에 노출될 수도 있다는 사실이 밝혀졌으니까요.

     

    개인적으로는 이번 사건을 계기로 클플의 공격적인 마케팅에 제동이 걸리고, 인캡슐라나 클라우드브릭 등 경쟁업체들이 힘을 얻어서 CDN 시장에도 경쟁이 좀더 치열해졌으면 좋겠습니다. 그래서 한국 사용자들이 빠르고 편리하게 사용할 수 있는 옵션이 늘어나면 좋겠네요.

  • profile
    좀 전에 클플에서 메일이 온거보고 '무슨 문제가 있나보군!!' 이라고 생각만하고 (죄다 영어라... 대충..)
    XE타운에 오니 YJSoft님이 글을 땋!
    그 밑에 기진곰님이 댓글을 뙇!

    덕분에 영어울렁증에서 해방되어 재밌게 읽고 갑니다. 감사합니다.
  • ?

    지금 해외쪽 국내쪽 다 난리군요. 클플 사용하는 사이트들에서 암호변경이랑 2FA적용하라는 메일이 계속 오네요.
    기진곰님 설명 감사합니다. 오늘도 많이 배웁니다 :)

  • profile
    현재 웹 뿐만 아니라 IOS 어플리케이션 쪽도 문제가 있는것 같더라구요.
  • ?
    클라우드플레어을 사용하는 주된 이유 중에는 보안도 포함되어 있는데, 다른 취약점도 없는지 정밀 분석이 필요해 보이네요.