Uber, Fitbit, Ok Cupid, 1Password এবং নেতৃস্থানীয় কোম্পানিগুলির ব্যবহারকারীর ডেটা ক্লাউডফ্লেয়ার একটি গুরুতর দুর্বলতার কারণে এক সপ্তাহের জন্য ঝুঁকিপূর্ণ ছিল। 'ক্লাউডব্লিড বাগ' হয়েছে কারণ সার্ভারগুলি বাফার অতিক্রম করে এবং ব্যক্তিগত তথ্য সম্বলিত মেমরি ফিরিয়ে দেয়। 2014 সালেও রিপোর্ট করা হার্টব্লিড বাগটিতে একই রকম কিছু দেখা গেছে। Google নিরাপত্তা গবেষক Tavis Ormandy এই দুর্বলতার কথা জানিয়েছেন। ক্লাউডফ্লেয়ারের সিটিও গ্রাহাম-কামিং বলেছেন যে 6-মিলিয়ন ওয়েবসাইটগুলির মধ্যে কোনটি প্রভাবিত হয়েছে তা নির্দেশ করা কঠিন। বেশ কিছু নিরাপত্তা বিশেষজ্ঞ বিশ্বাস করেন যে ক্লাউডফ্লেয়ার দাবি করা ক্লাউডব্লিডের অনেক বেশি প্রভাব রয়েছে৷
ক্লাউডফ্লেয়ার দুর্বলতার পরিণতি
ক্লাউডফ্লেয়ারের বেশ কয়েকটি পরিষেবা এইচটিএমএল পার্সিং এবং ফ্লাইতে এটি পরিবর্তন করার উপর নির্ভর করে। ক্লাউডফ্লেয়ার রাগেলে লেখা একটি পার্সার ব্যবহার করছিল এবং গত বছর তাদের নিজস্ব পার্সার লেখার সিদ্ধান্ত নিয়েছে। রাগেল এবং নতুন পার্সার উভয়ই যেখানে nginx মডিউল হিসাবে স্থাপন করা হয়েছে। দুর্বলতা সৃষ্টিকারী বাগটি রাগেল পার্সারে সর্বদা উপস্থিত ছিল, যখন নতুন পার্সার প্রবর্তন করা হয় তখন সার্ভারের সাথে পার্সারদের যোগাযোগের পদ্ধতি পরিবর্তিত হয়। এটি একটি মেমরি ওভারফ্লো সৃষ্টি করেছে এবং তাই দুর্বলতা দেখা দিয়েছে। কারণের একটি গভীর বিশ্লেষণ এখানে পাওয়া যাবে। ক্লাউডব্লিডের সরাসরি পরিণতি হল:
- সার্চ ইঞ্জিনগুলি প্রচুর পরিমাণে ফাঁস হওয়া ডেটা ক্যাশ করেছে এবং সেগুলি অনুসন্ধান ফলাফলে প্রদর্শন করছে
- সামাজিক/ডেটিং ওয়েবসাইটগুলিতে ব্যক্তিগত চ্যাট ফাঁস
- ব্যবহারকারীর পরিচয় তথ্য ফাঁস
- কুকিজ/আইপি তথ্য
তাৎক্ষণিক সতর্কতামূলক পদক্ষেপ
- আপনার পাসওয়ার্ড পরিবর্তন করুন। FTP, cpanel, অ্যাডমিন প্যানেল থেকে অন্য সকলে।
- আপনার ব্যবহারকারীদের একটি পাসওয়ার্ড পরিবর্তন করতে বাধ্য করুন
- যদি সম্ভব হয়, দ্বি-গুণক প্রমাণীকরণ ব্যবহার করুন
- আপনার ওয়েবসাইট ক্যাশে সাফ করুন। পুরানো ক্যাশে পরিষ্কার করুন।
প্রশ্ন উত্থাপিত হয়েছে
জনাব ট্রয় হান্ট, সাইবার নিরাপত্তা প্রচারক তার ব্লগে বলেছেন:
এই দুর্বলতা প্রকাশের পর থেকে, ক্লাউডফ্লেয়ারের অবস্থান অত্যন্ত দৃঢ় এবং অগ্রগামী। ক্লাউডফ্লেয়ারের সিইও এবং সিটিও উভয়ই জনসাধারণের বিবৃতি দিয়েছেন এবং পরিস্থিতির দায়িত্ব নিয়েছেন। যাইহোক, এই পুরো ঘটনাটি বিপরীত প্রক্সি সমাধান সম্পর্কে প্রশ্ন উত্থাপন করে যে আপনি তাদের মাধ্যমে আপনার ওয়েব ট্র্যাফিককে রুট করার আশা করছেন। এই ধরনের সমাধানের সবচেয়ে বড় পরিণতি হল যে সার্ভার হ্যাক হয়ে গেলে, সমস্ত ওয়েবসাইট ডাউন হয়ে যায়। ক্লাউডফ্লেয়ারের সাথে দেখা যায়, এক ত্রুটির সাথে লক্ষ লক্ষ ওয়েবসাইট ঝুঁকির মুখে পড়ে।
আমরা রাফায় বালোচের সাথে যোগাযোগ করেছি, একজন সুপরিচিত নিরাপত্তা গবেষক এবং লেখক এই বিষয়ে তার ইনপুট নিতে। রাফায়ের এই কথাই ছিল:
Rafay দ্বারা সত্যিই একটি খুব আকর্ষণীয় পয়েন্ট. নিরাপত্তা সংস্থাগুলির নিরাপত্তা গবেষকদের শক্তি এবং বিশ্বের সেরা WAF গুলিকে বাইপাস করার ক্ষমতাকে উপেক্ষা করা উচিত নয়৷ আমরা শীঘ্রই এই বিষয়ে আরও লিখব যে কীভাবে একটি সম্পূর্ণ নিরাপত্তা সমাধানে একটি 'দায়িত্বপূর্ণ প্রকাশ' উপাদান থাকা উচিত।
Astra তৈরি করার সময়, আমরা কেন রিভার্স প্রক্সি ইমপ্লিমেন্টেশন ব্যবহার করিনি তার একটি বড় কারণ হল এইরকম পরিস্থিতি এড়ানো যেখানে আমাদের পরিকাঠামোর একটি দুর্বলতার কারণে আমাদের সমস্ত ব্যবহারকারীরা ঝুঁকির মধ্যে পড়ে।
