Cloudflare выплатила на площадке HackerOne белому хакеру Альберту Педерсену $6 тыс. за обнаружение критической уязвимости в работе бета-версии службы маршрутизации электронной почты компании.
ИБ-специалист предоставил данные по обнаруженной им уязвимости в конце 2021 года. После этого Cloudflare закрыла баг. В конце июля HackerOne обнародовала данные по этой уязвимости. 3 августа Педерсен раскрыл в своём блоге, что же именно он сделал и как смог вклиниться в работу службы маршрутизации электронной почты Cloudflare, которую компания запустила в сентябре 2021 года в формате бета-тестирования.
На момент проникновения Педерсена внутрь системы там было зарегистрировано почти 600 доменов. Хакер смог показать, что может перехватывать электронную почту с этих доменов с помощью обнаруженной им уязвимости.
ИБ-специалист действовал напрямую и смог получить доступ к внутреннему бета-тестированию, манипулируя данными, которые были отправлены с внутренних серверов Cloudflare на панель инструментов, открытую в его браузере.
Он выяснил, что, когда панель инструментов Cloudflare загружена, делается запрос на dash.cloudflare.com/api/v4/zones<zone_tag>/flags. Ответ включает несколько свойств, влияющих на то, какие функции отображаются на панели мониторинга, и одно из них предназначено для бета-версии системы маршрутизации электронной почты.
Педерсен использовал инструмент Burp, чтобы перехватить ответ и заменить «beta»: false на «beta»: true, из-за чего панель инструментов Cloudflare предоставила ему доступ к бета-версии системы маршрутизации электронной почты компании.
Белый хакер предполагал, что будут проверки на стороне сервера, чтобы помешать ему далее самому настроить маршрутизацию электронной почты, но это оказалось не так. Все ограничения были на стороне клиента, поскольку API не проверял, был ли пользователю предоставлен доступ к бета-версии.
Педерсену удалось успешно настроить маршрутизацию электронной почты компании на один из его доменов, и хакер смог просматривать сообщения, перенаправляя их на свой личный адрес Gmail. Он ожидал, что либо API выдаст ошибку, либо конфигурация просто не запустится и не будет работать. В итоге он смог успешно добавить неподтверждённый домен в свою учётную запись Cloudflare и включил для него маршрутизацию почты с доменов клиентов компании на свой электронную почту.
В итоге после нескольких манипуляций и после смены нескольких доменов ИБ-специалист смог доказать, что, используя эту уязвимость, можно получать сообщения, отправленные на адрес другого пользователя с помощью добавления домена жертвы к учётной записи злоумышленника. Он выяснил, что фактически почтовый сервер Cloudflare хранил только одну запись для каждого адреса, которая была просто перезаписана, когда он применил свои мошеннические настройки в изменении маршрутизации на свой домен.
Эксперт пояснил, что это не только критическая проблема конфиденциальности. Из-за того, что ссылки для сброса пароля часто отправляются на адрес электронной почты пользователя, злоумышленник также потенциально может получить контроль над любыми учётными записями, связанными с этим адресом электронной почты. Это хороший пример того, почему пользователи должны использовать двухфакторную аутентификацию.
Cloudflare со своей стороны поблагодарила Педерсена за его настойчивость и подробный технический отчёт по инциденту. Компания закрыла этот баг и выяснила, что с сентября уязвимость не использовалась в рамках программы бета-тестирования другими хакерами. В настоящее время сервис маршрутизации электронной почты Cloudflare продолжает находиться в стадии закрытого бета-тестирования.
