Представляем HAR Sanitizer: безопасный обмен HAR

В среду, 18 октября 2023 г., группа реагирования на инциденты безопасности Cloudflare (SIRT) обнаружила атаку на наши системы, вызванную использованием токена аутентификации, украденного из одной из систем поддержки Okta. Инцидент не затронул ни информацию, ни системы клиентов Cloudflare благодаря обнаружению в режиме реального времени и быстрым действиям нашей группы реагирования на инциденты безопасности (SIRT) в сочетании с нашей политикой безопасности Zero Trust и использованием аппаратных ключей. Учитывая вышесказанное, мы не хотим повторять этот опыт — и поэтому мы создали новый инструмент безопасности, который может помочь организациям навсегда сделать этот тип атак устаревшим.

Злоумышленник, участвовавший в взломе Okta, скомпрометировал пользовательские сеансы, перехватив токены сеансов у администраторов Cloudflare и других пострадавших организаций. Они сделали это, проникнув в систему поддержки клиентов Okta и украв один из наиболее распространенных механизмов устранения неполадок — файл архива ответов HTTP (HAR).

Файлы HAR содержат запись сеанса браузера пользователя, своего рода пошаговый аудит, которым пользователь может поделиться с кем-то, например, с агентом службы поддержки, для диагностики проблемы. Однако файл также может содержать конфиденциальную информацию, которую можно использовать для запуска атаки.

В ответ на взлом Okta мы предоставляем бесплатное средство очистки файлов HAR всем, а не только клиентам Cloudflare. Мы публикуем этот инструмент под лицензией с открытым исходным кодом и делаем его доступным для любой команды поддержки, разработки или безопасности. В Cloudflare мы стремимся сделать Интернет лучше, и использование файлов HAR без угрозы кражи сеансов должно стать частью будущего Интернета.

Файлы HAR – взгляд назад во времени

Представьте себе возможность перемотать время назад и вернуться к каждому шагу пользователя во время веб-сеанса, тщательно изучая каждый запрос и ответы, полученные браузером.

Файлы HAR (HTTP Archive) представляют собой архивные файлы взаимодействия веб-браузера с веб-приложением в формате JSON. Файлы HAR предоставляют подробный снимок каждого запроса, включая заголовки, файлы cookie и другие типы данных, отправляемые браузером на веб-сервер. Это делает их бесценным ресурсом для устранения проблем веб-приложений, особенно для сложных, многоуровневых веб-приложений.

Снимок, сделанный файлом HAR, может содержать следующую информацию:

Полные заголовки запроса и ответа: Каждый фрагмент отправленных и полученных данных, включая типы методов (GET, POST и т. д.), коды состояния, URL-адреса, файлы cookie и т. д.

Содержимое полезной нагрузки: Подробная информация о том, чем фактически обменивались данные между клиентом и сервером, что может быть важно для диагностики проблем, связанных с отправкой или получением данных.

Информация о времени: Точная временная разбивка каждого этапа — от поиска DNS, времени подключения, подтверждения SSL до загрузки контента — дает представление об узких местах производительности.

Эту информацию может быть сложно получить из журналов приложения из-за разнообразия устройств, браузеров и сетей, используемых для доступа к приложению. Пользователю придется выполнить десятки шагов вручную. Файл HAR дает им возможность одним щелчком мыши поделиться диагностической информацией с другой стороной. Этот файл также является стандартным и предоставляет разработчикам, группам поддержки и администраторам на другой стороне обмена последовательную информацию для их собственных инструментов. Это сводит к минимуму неприятные размышления, когда команды пытаются воссоздать проблему, о которой сообщили пользователи, гарантируя, что все в буквальном смысле находятся на одной волне.

HAR-файлы как вектор атаки

Файлы HAR, несмотря на свою мощь, содержат предостережение. В рамках набора информации, которую они содержат, файлы cookie сеанса делают их мишенью для злоумышленников.

Роль сеансовых файлов cookie

Прежде чем углубляться в риски, важно понять роль сеансовых файлов cookie. Файл cookie сеанса отправляется с сервера и сохраняется в браузере пользователя для сохранения информации о состоянии во время веб-сеансов для этого пользователя. Проще говоря, это то, как браузер удерживает вас в приложении в течение определенного периода времени, даже если вы закрываете страницу. Как правило, эти файлы cookie хранятся в локальной памяти браузера пользователя и нечасто передаются. Однако файл HAR является одним из наиболее распространенных способов непреднамеренного распространения файла cookie сеанса.

Опасности украденных сеансовых файлов cookie

Если файл HAR с действительным файлом cookie сеанса является общим, существует ряд потенциальных угроз безопасности, которым могут подвергнуться пользователь и компания:

Не авторизованный доступ: Самый большой риск – несанкционированный доступ. Если файл HAR с файлом cookie сеанса попадает в чужие руки, он предоставляет доступ к учетной записи пользователя этого приложения. Для платформ, хранящих персональные данные или финансовые данные, последствия такого взлома могут быть катастрофическими. Особенно, если украден файл cookie сеанса пользователя с административными или повышенными правами.

Перехват сеанса: Вооружившись файлом cookie сеанса, злоумышленники могут выдавать себя за законных пользователей. Эта тактика известна как перехват сеанса. Это может привести к целому ряду злонамеренных действий: от распространения дезинформации до вывода средств.

Постоянное воздействие: В отличие от других форм данных, риск воздействия файлов cookie сеанса не обязательно заканчивается после завершения сеанса пользователя. В зависимости от срока действия файла cookie злоумышленники могут получить продолжительный доступ, неоднократно ставя под угрозу цифровое взаимодействие пользователя.

Путь к дальнейшим атакам: Имея доступ к сеансу пользователя, особенно администратора, злоумышленники могут исследовать другие уязвимости, использовать слабые места платформы или переходить к другим приложениям.

Смягчение воздействия украденного файла HAR

К счастью, существуют способы сделать HAR-файл инертным, даже если его украл злоумышленник. Один из наиболее эффективных методов — «очистка» HAR-файла от любой информации, связанной с сеансом, прежде чем делиться ею в целях отладки.

Дезинфицирующее средство HAR, которое мы представляем сегодня, позволяет пользователю загружать любой файл HAR, и этот инструмент удалит все файлы cookie, связанные с сеансом, или веб-токены JSON (JWT). Инструмент полностью построен на Cloudflare Workers, и вся очистка выполняется на стороне клиента, что означает, что Cloudflare никогда не видит полное содержимое токена сеанса.

Достаточно дезинфекции

По умолчанию дезинфицирующее средство удалит все файлы cookie и токены, связанные с сеансом, но в некоторых случаях они необходимы для устранения неполадок. Для этих сценариев мы реализуем способ условного удаления «достаточных» данных из файла HAR, чтобы сделать их безопасными, при этом предоставляя группам поддержки необходимую информацию.

Первый продукт, для которого мы оптимизировали дезинфицирующее средство HAR, — это Cloudflare Access. Доступ зависит от JWT пользователя — компактного токена, часто используемого для безопасной аутентификации — для проверки того, что пользователь должен иметь доступ к запрошенному ресурсу. Это означает, что JWT играет решающую роль в устранении проблем с Cloudflare Access. Мы настроили дезинфицирующее средство HAR так, чтобы оно удаляло криптографическую подпись из Access JWT, делая его инертным, но при этом предоставляло полезную информацию внутренним администраторам и поддержке Cloudflare для устранения проблем.

Поскольку файлы HAR могут включать в себя самые разные типы данных, их выборочная очистка не является примером «одного размера, подходящего всем». Мы продолжим расширять поддержку других популярных инструментов аутентификации, чтобы гарантировать, что мы удаляем «достаточно» информации.

Что дальше

В ближайшие месяцы мы запустим дополнительные меры безопасности в Cloudflare Zero Trust для дальнейшего смягчения атак, связанных с токенами сеанса, украденными из файлов HAR. Это будет включать в себя:

• Улучшенное сканирование типов файлов с помощью технологии Enhanced Data Loss Prevention (DLP), включающее обнаружение файлов HAR и токенов сеанса, чтобы гарантировать, что пользователи в вашей организации не смогут делиться необработанными файлами.
• Расширенное сканирование API CASB для обнаружения файлов HAR с токенами сеанса в таких инструментах совместной работы, как Zendesk, Jira, Drive и O365.
• Автоматизированная очистка данных HAR в популярных инструментах для совместной работы.

Как всегда, мы продолжаем расширять наш пакет Cloudflare One Zero Trust, чтобы защитить организации любого размера от постоянно меняющегося множества угроз. Готовы начать? Зарегистрируйтесь здесь, чтобы начать бесплатно использовать Cloudflare One для команд до 50 пользователей.