网络配置错误致Cloudflare大规模宕机。 

Cloudflare 是一个全球性的云平台,为世界各地的各种规模的企业提供广泛的网络服务,从而使企业更加安全,同时提高其关键互联网资产的性能和可靠性。

6月21日,Cloudflare称其遭遇了大规模宕机,影响19个数据中心和上百个主要的在线平台和服务。而产生大规模宕机的原因是旨在提供网络弹性的MCP架构配置更新导致的。

根据用户报告,受影响的网站和服务包括但不限于亚马逊、Twitch、亚马逊web服务、Steam、Coinbase、Telegram、Discord、DoorDash、Gitlab等。

Cloudflare调查显示,UTC时间6点34分接到用户报告称到Cloudflare网络的连接中断。受影响区域的用户尝试连接到Cloudflare站点时会显示500错误。

大规模宕机事件影响所有的Data Plane Service(数据平面服务)

随后,Cloudflare官方发布了事件的调查报告,称宕机是由于一个长期运行的项目的一部分变化导致,该项目旨在增加繁忙地区网络的弹性。时间轴如下:

3点56分(UTC时间),Cloudflare对第一个位置进行了网络配置更改。使用老版本架构的地区不受到该配置变更的影响,因为Cloudflare服务不受到影响。

6点17分(UTC时间),Cloudflare 将对其他一个繁忙区域进行了配置变更,并非使用MCP架构的区域。

6点27分(UTC时间),MCP架构的位置配置变更。随后Cloudflare相关服务开始宕机,19个数据中心下线。

6点32分(UTC时间),Cloudflare内部发现该事件。

6点51分(UTC时间),Cloudflare开始在路由器上进行测试,验证事件起因。

6点58分(UTC时间),Cloudflare发现事件根本原因,开始解决这一问题。第一个数据中心上线,恢复运行。

7点42分(UTC时间),全部数据中心恢复正常运行,所有问题全部解决。

Cloudflare outage impact

Cloudflare大规模宕机的影响

受影响的位置约占Cloudflare全部网络的4%,宕机影响Cloudflare处理HTTP请求的大约50%。

受影响的数据中心包括阿姆斯特丹、亚特兰大、阿什本、芝加哥、法兰克福、伦敦、洛杉矶、马德里、曼彻斯特、迈阿密、米兰、孟买、纽瓦克、大阪、圣保罗、圣何塞、新加坡、悉尼和东京。


网络配置错误致Cloudflare大规模宕机。 

Cloudflare 是一个全球性的云平台,为世界各地的各种规模的企业提供广泛的网络服务,从而使企业更加安全,同时提高其关键互联网资产的性能和可靠性。

6月21日,Cloudflare称其遭遇了大规模宕机,影响19个数据中心和上百个主要的在线平台和服务。而产生大规模宕机的原因是旨在提供网络弹性的MCP架构配置更新导致的。

根据用户报告,受影响的网站和服务包括但不限于亚马逊、Twitch、亚马逊web服务、Steam、Coinbase、Telegram、Discord、DoorDash、Gitlab等。

Cloudflare调查显示,UTC时间6点34分接到用户报告称到Cloudflare网络的连接中断。受影响区域的用户尝试连接到Cloudflare站点时会显示500错误。

大规模宕机事件影响所有的Data Plane Service(数据平面服务)

随后,Cloudflare官方发布了事件的调查报告,称宕机是由于一个长期运行的项目的一部分变化导致,该项目旨在增加繁忙地区网络的弹性。时间轴如下:

3点56分(UTC时间),Cloudflare对第一个位置进行了网络配置更改。使用老版本架构的地区不受到该配置变更的影响,因为Cloudflare服务不受到影响。

6点17分(UTC时间),Cloudflare 将对其他一个繁忙区域进行了配置变更,并非使用MCP架构的区域。

6点27分(UTC时间),MCP架构的位置配置变更。随后Cloudflare相关服务开始宕机,19个数据中心下线。

6点32分(UTC时间),Cloudflare内部发现该事件。

6点51分(UTC时间),Cloudflare开始在路由器上进行测试,验证事件起因。

6点58分(UTC时间),Cloudflare发现事件根本原因,开始解决这一问题。第一个数据中心上线,恢复运行。

7点42分(UTC时间),全部数据中心恢复正常运行,所有问题全部解决。

Cloudflare outage impact

Cloudflare大规模宕机的影响

受影响的位置约占Cloudflare全部网络的4%,宕机影响Cloudflare处理HTTP请求的大约50%。

受影响的数据中心包括阿姆斯特丹、亚特兰大、阿什本、芝加哥、法兰克福、伦敦、洛杉矶、马德里、曼彻斯特、迈阿密、米兰、孟买、纽瓦克、大阪、圣保罗、圣何塞、新加坡、悉尼和东京。


研究人员发现微软Office 365功能可用于勒索保存在SharePoint和OneDrive上的文件。

Office 365 Autosave

Autosave(自动保存)是Office 365的一个功能,允许用户在编辑OneDrive或SharePoint Online上保存的文件时,创建老文件版本的云备份。Proofpoint研究人员微软Office 365的自动备份功能可能被攻击者滥用,允许勒索软件对SharePoint和OneDrive上保存的文件进行加密,使得其无法从备份文件中恢复。攻击者可以对目标组织云上保存的数据和云基础设施发起攻击。

SharePoint和OneDrive每个文件库都有一系列的属性,包括站点所有者可以修改版本的版本数。版本设置由文件库来进行设置。

Ransomware

图1 文件库的版本设置

从设计原理来讲,当减少文件库的版本限制后,对文件库中文件的变化会导致老版本难以恢复。目前有两种方式来滥用版本机制首先恶意目的:

创建同一个文件的多个版本;使文件版本号增加的操作包括修改文件内容、文件名、文件元数据、文件加密状态。

减少文件库的版本限制。攻击者可以将文件库的版本限制降低为1,然后对文件进行多次加密,加密次数不少于版本限制。

云勒索软件攻击链

攻击执行后,首先加密被黑的用户账户中的文件。和普通的终端设备勒索软件类似,这些文件只有通过解密密钥才能够提取访问。

以下动作都可以通过微软API、命令行接口脚本和powershell脚本自动完成:

初始访问:通过入侵或截止用户身份获得用户SharePoint online或OneDrive账户的访问权限;

账户接管和发现:攻击者就有了被入侵的用户或被第三方oauth应用控制的文件的访问权限;

收集和窃取:将文件的版本限制降低,比如1。对文件进行多次加密,加密次数要大于版本的限制。攻击者也可能将未加密的文件发送给到其他位置,用于其他攻击。

获利:此时,所有文件的原始版本都丢失了,云账户中只有每个文件的加密版本。此时,攻击者会要求企业支付赎金。

Ransomware 

图2 云勒索软件攻击链

研究人员发现微软Office 365功能可用于勒索保存在SharePoint和OneDrive上的文件。

Office 365 Autosave

Autosave(自动保存)是Office 365的一个功能,允许用户在编辑OneDrive或SharePoint Online上保存的文件时,创建老文件版本的云备份。Proofpoint研究人员微软Office 365的自动备份功能可能被攻击者滥用,允许勒索软件对SharePoint和OneDrive上保存的文件进行加密,使得其无法从备份文件中恢复。攻击者可以对目标组织云上保存的数据和云基础设施发起攻击。

SharePoint和OneDrive每个文件库都有一系列的属性,包括站点所有者可以修改版本的版本数。版本设置由文件库来进行设置。

Ransomware

图1 文件库的版本设置

从设计原理来讲,当减少文件库的版本限制后,对文件库中文件的变化会导致老版本难以恢复。目前有两种方式来滥用版本机制首先恶意目的:

创建同一个文件的多个版本;使文件版本号增加的操作包括修改文件内容、文件名、文件元数据、文件加密状态。

减少文件库的版本限制。攻击者可以将文件库的版本限制降低为1,然后对文件进行多次加密,加密次数不少于版本限制。

云勒索软件攻击链

攻击执行后,首先加密被黑的用户账户中的文件。和普通的终端设备勒索软件类似,这些文件只有通过解密密钥才能够提取访问。

以下动作都可以通过微软API、命令行接口脚本和powershell脚本自动完成:

初始访问:通过入侵或截止用户身份获得用户SharePoint online或OneDrive账户的访问权限;

账户接管和发现:攻击者就有了被入侵的用户或被第三方oauth应用控制的文件的访问权限;

收集和窃取:将文件的版本限制降低,比如1。对文件进行多次加密,加密次数要大于版本的限制。攻击者也可能将未加密的文件发送给到其他位置,用于其他攻击。

获利:此时,所有文件的原始版本都丢失了,云账户中只有每个文件的加密版本。此时,攻击者会要求企业支付赎金。

Ransomware 

图2 云勒索软件攻击链

Hertzbleed侧信道攻击影响Intel、AMD处理器。

Hertzbleed侧信道攻击是一种频率侧信道攻击。最坏情况下,攻击者可以从远程服务器提取加密密钥。Hertzbleed是对加密软件的一个真实的、现实的安全威胁。此外,攻击者还可以对SIKE使用选择密文攻击来执行全密钥提取。

SIKE

密钥封装机制是一种使用非对称密码学技术安全交换对称密钥的协议。SIKE (Supersingular Isogeny Key Encapsulation,超奇异基因密钥封装)是一种广泛应用的密钥封装机制,入选NIST后量子密码学竞赛最后一轮。有多个工业界实现和部署实验。

Hertzbleed侧信道攻击

电力侧信道攻击利用CPU中电力消耗的数据独立的变量来泄露秘密信息。近日,研究人员发现针对x86 CPU的Hertzbleed电力侧信道攻击可以通过电力度量接口转化为时间侧信道攻击。在特定情况下,周期性的CPU频率调整与当前CPU电力消耗有关,而频率的调整可以直接转为执行时间差异。

Hertzbleed侧信道攻击甚至可以通过远程时间分析来泄露加密代码。研究表明当前使用恒定时间代码的行业实践不足以确保在现代处理器上的恒定时间执行。

Hertzbleed CVE编号为CVE-2022-23823和CVE-2022-24436。Hertzbleed并非一个安全漏洞,攻击能够实现的根本原因是现代处理器的一个特征——动态频率调整。动态频率调整本来是在CPU低负载的情况下用于减少电力消耗的,确保系统在高负载情况下处于电力和温度限制。

影响

Intel发布安全公告称,所有的Intel处理器都受到影响。实验也表明,多个Intel处理器受影响,包括8到11代处理器笔记本和台式机。AMD的安全公告表明多个笔记本、手机和服务器处理器受到影响。实验表明,AMD Ryzen处理器受到影响,Zen 2和Zen 3微架构的笔记本和台式机受到影响。

包括Arm在内的其他处理器厂商也称受到Hertzbleed侧信道攻击的影响,但研究人员未进一步确认。

时间轴

研究人员在2021年第3季度向微软、Intel公开了PoC代码,在2022年1季度向AMD公开了PoC代码。

截止目前,Intel和AMD不计划部署微代码补丁来缓解Hertzbleed攻击。但是Intel在软件层面提供了缓解Hertzbleed攻击的指南。密码学开发人员可以根据Intel的指南来对库和应用进行加固。

还有一种应对Hertzbleed攻击的方式就是禁用频率调制。但这会对性能带来明显的影响,因此并不建议采取这种应对措施。

对SIKE攻击的应对

Cloudflare和微软已经部署了针对SIKE的应对策略。应对措施包括在解封装前验证密文中是否包含正确排序的线性独立的点对。

Hertzbleed的研究成果已被安全顶会USENIX Security录用,研究论文下载地址:

Hertzbleed侧信道攻击实验源代码参见:https://github.com/FPSG-UIUC/hertzbleed

Hertzbleed侧信道攻击影响Intel、AMD处理器。

Hertzbleed侧信道攻击是一种频率侧信道攻击。最坏情况下,攻击者可以从远程服务器提取加密密钥。Hertzbleed是对加密软件的一个真实的、现实的安全威胁。此外,攻击者还可以对SIKE使用选择密文攻击来执行全密钥提取。

SIKE

密钥封装机制是一种使用非对称密码学技术安全交换对称密钥的协议。SIKE (Supersingular Isogeny Key Encapsulation,超奇异基因密钥封装)是一种广泛应用的密钥封装机制,入选NIST后量子密码学竞赛最后一轮。有多个工业界实现和部署实验。

Hertzbleed侧信道攻击

电力侧信道攻击利用CPU中电力消耗的数据独立的变量来泄露秘密信息。近日,研究人员发现针对x86 CPU的Hertzbleed电力侧信道攻击可以通过电力度量接口转化为时间侧信道攻击。在特定情况下,周期性的CPU频率调整与当前CPU电力消耗有关,而频率的调整可以直接转为执行时间差异。

Hertzbleed侧信道攻击甚至可以通过远程时间分析来泄露加密代码。研究表明当前使用恒定时间代码的行业实践不足以确保在现代处理器上的恒定时间执行。

Hertzbleed CVE编号为CVE-2022-23823和CVE-2022-24436。Hertzbleed并非一个安全漏洞,攻击能够实现的根本原因是现代处理器的一个特征——动态频率调整。动态频率调整本来是在CPU低负载的情况下用于减少电力消耗的,确保系统在高负载情况下处于电力和温度限制。

影响

Intel发布安全公告称,所有的Intel处理器都受到影响。实验也表明,多个Intel处理器受影响,包括8到11代处理器笔记本和台式机。AMD的安全公告表明多个笔记本、手机和服务器处理器受到影响。实验表明,AMD Ryzen处理器受到影响,Zen 2和Zen 3微架构的笔记本和台式机受到影响。

包括Arm在内的其他处理器厂商也称受到Hertzbleed侧信道攻击的影响,但研究人员未进一步确认。

时间轴

研究人员在2021年第3季度向微软、Intel公开了PoC代码,在2022年1季度向AMD公开了PoC代码。

截止目前,Intel和AMD不计划部署微代码补丁来缓解Hertzbleed攻击。但是Intel在软件层面提供了缓解Hertzbleed攻击的指南。密码学开发人员可以根据Intel的指南来对库和应用进行加固。

还有一种应对Hertzbleed攻击的方式就是禁用频率调制。但这会对性能带来明显的影响,因此并不建议采取这种应对措施。

对SIKE攻击的应对

Cloudflare和微软已经部署了针对SIKE的应对策略。应对措施包括在解封装前验证密文中是否包含正确排序的线性独立的点对。

Hertzbleed的研究成果已被安全顶会USENIX Security录用,研究论文下载地址:

Hertzbleed侧信道攻击实验源代码参见:https://github.com/FPSG-UIUC/hertzbleed

研究人员在3个恶意PyPI包中发现了后门密码窃取器。

pypi

研究人员发现由于存在恶意request依赖导致keep、pyanxdns、api-res-py 3个PyPI包部分版本中存在后门。CVE编号为CVE-2022-30877、CVE-2022-30882、CVE-2022-31313。受影响的版本为:

Keep v1.2版本;

Pyanxdns v0.2版本;

api-res-py v0.1版本。

比如,keep项目使用合法python模块requests进行HTTP请求,但keep v1.2版本中使用的是request,这是一个恶意软件。

使用恶意request的keep包

5月,GitHub用户duxinglin1注意到部分keep、pyanxdns、api-res-py包版本汇总包含'request'依赖。pyanxdns、api-res-py包的用户规模较小,keep包的用户数量比较大,平均每周下载量超过8000次,keep v1.2版本中使用了恶意request依赖。

PyPI keep package homepage

PyPI keep包主页

pypi package keep uses request as a dependency

Keep v1.2版本中包含恶意request依赖

Request中的恶意代码如下所示:

Inside counterfeit PyPI package request

第57行包含到check.so恶意软件的base64编码的URL。Threat intel研究人员还发现了另一个与request依赖有关的URL——x.pyz:

http://dexy[.]top/request/check.so

http://dexy[.]top/x.pyx

文件check.so会传播一个远程访问木马RAT,研究人员分析发现x.pyx中包含一个信息窃取恶意软件,可以从谷歌、Firefox、Yandex、Brave等web浏览器中窃取cookie和个人信息:

x.pyx file contents

解码的x.pyx文件内容

信息窃取木马会尝试窃取用户浏览器中保存的登录用户名和密码。在获取用户凭证信息后,攻击者会尝试入侵开发者使用的其他账户,引发潜在的供应链攻击。

账户劫持还是打字错误?

多个PyPI包中存在恶意依赖引发了严重的问题。研究人员与包开发者联系以确定出现恶意依赖原因是打字错误、维护者账户劫持、还是自我破坏?

pyanxdns包的作者和维护人员确认出现恶意依赖的原因是打字错误。开发人员也重新上传了新版本的PyPI版本,并删除了引用了恶意request依赖的版本。研究人员称,即使恶意request包被PyPI移除,许多镜像网站并不会完成删除该包,因此恶意包仍然可以安装。

研究人员在3个恶意PyPI包中发现了后门密码窃取器。

pypi

研究人员发现由于存在恶意request依赖导致keep、pyanxdns、api-res-py 3个PyPI包部分版本中存在后门。CVE编号为CVE-2022-30877、CVE-2022-30882、CVE-2022-31313。受影响的版本为:

Keep v1.2版本;

Pyanxdns v0.2版本;

api-res-py v0.1版本。

比如,keep项目使用合法python模块requests进行HTTP请求,但keep v1.2版本中使用的是request,这是一个恶意软件。

使用恶意request的keep包

5月,GitHub用户duxinglin1注意到部分keep、pyanxdns、api-res-py包版本汇总包含'request'依赖。pyanxdns、api-res-py包的用户规模较小,keep包的用户数量比较大,平均每周下载量超过8000次,keep v1.2版本中使用了恶意request依赖。

PyPI keep package homepage

PyPI keep包主页

pypi package keep uses request as a dependency

Keep v1.2版本中包含恶意request依赖

Request中的恶意代码如下所示:

Inside counterfeit PyPI package request

第57行包含到check.so恶意软件的base64编码的URL。Threat intel研究人员还发现了另一个与request依赖有关的URL——x.pyz:

http://dexy[.]top/request/check.so

http://dexy[.]top/x.pyx

文件check.so会传播一个远程访问木马RAT,研究人员分析发现x.pyx中包含一个信息窃取恶意软件,可以从谷歌、Firefox、Yandex、Brave等web浏览器中窃取cookie和个人信息:

x.pyx file contents

解码的x.pyx文件内容

信息窃取木马会尝试窃取用户浏览器中保存的登录用户名和密码。在获取用户凭证信息后,攻击者会尝试入侵开发者使用的其他账户,引发潜在的供应链攻击。

账户劫持还是打字错误?

多个PyPI包中存在恶意依赖引发了严重的问题。研究人员与包开发者联系以确定出现恶意依赖原因是打字错误、维护者账户劫持、还是自我破坏?

pyanxdns包的作者和维护人员确认出现恶意依赖的原因是打字错误。开发人员也重新上传了新版本的PyPI版本,并删除了引用了恶意request依赖的版本。研究人员称,即使恶意request包被PyPI移除,许多镜像网站并不会完成删除该包,因此恶意包仍然可以安装。

研究人员发现一种针对苹果M1 CPU芯片的硬件攻击,可在Mac系统中执行任意代码。

Apple Pacman指针认证,也叫指针认证码(PAC)是在指针中加入加密签名的安全特征,允许操作系统检测和拦截可能会引发数据丢失或系统破坏的意外变化。MIT CSAIL研究人员发现了一种针对苹果M1 CPU指针认证的硬件攻击——PACMAN。具有被攻击Mac设备物理访问权限的攻击者可以利用推测执行能力访问Mac设备底层文件系统,并在系统中执行任意代码。

PACMAN

PACMAN是一种可以绕过苹果M1 CPU指针认证的新型硬件攻击方法,是软件和硬件攻击的交叉和结合。主要思想是通过微架构侧信道使用推测执行来静默地泄露PAC的验证结果。

Intersection of SW and HW

PACMAN使用现有内存读写软件漏洞,并将其转变成可利用的原语(指针认证绕过),可以引发任意代码执行。为此,首先需要了解什么PAC值是哪个特定的受害者指针。PACMAN攻击通过创建PAC Oracle来完成这一功能,即判断给定的PAC是否与特定的指针相匹配。如果推测执行中的猜测错误,PAC Oracle不会奔溃。然后使用PAC Oracle暴力破解所有可能的PAC值。

与Spectre 攻击类似,PACMAN攻击是基于推测执行的,攻击过程不会有任何日志记录。

攻击影响

该攻击影响苹果M1 CPU芯片。

漏洞时间轴

研究人员在2021年就将该漏洞和PoC代码提交给了苹果公司。苹果公司称侧信道攻击并不意味着会对Mac用户带来危险,因为需要配合安全漏洞才可以发起攻击。苹果公司无法修复该硬件漏洞来拦截使用该利用技术的攻击,好消息是只要终端用户保持软件安全更新,攻击者无法利用软件漏洞就无法使用PACMAN攻击实现代码执行。

该研究成果已被计算机体系结构领域的顶级会议ISCA录用,论文下载参见:https://pacmanattack.com/paper.pdf

更多关于pacman攻击的细节参见:https://pacmanattack.com/

研究人员发现一种针对苹果M1 CPU芯片的硬件攻击,可在Mac系统中执行任意代码。

Apple Pacman指针认证,也叫指针认证码(PAC)是在指针中加入加密签名的安全特征,允许操作系统检测和拦截可能会引发数据丢失或系统破坏的意外变化。MIT CSAIL研究人员发现了一种针对苹果M1 CPU指针认证的硬件攻击——PACMAN。具有被攻击Mac设备物理访问权限的攻击者可以利用推测执行能力访问Mac设备底层文件系统,并在系统中执行任意代码。

PACMAN

PACMAN是一种可以绕过苹果M1 CPU指针认证的新型硬件攻击方法,是软件和硬件攻击的交叉和结合。主要思想是通过微架构侧信道使用推测执行来静默地泄露PAC的验证结果。

Intersection of SW and HW

PACMAN使用现有内存读写软件漏洞,并将其转变成可利用的原语(指针认证绕过),可以引发任意代码执行。为此,首先需要了解什么PAC值是哪个特定的受害者指针。PACMAN攻击通过创建PAC Oracle来完成这一功能,即判断给定的PAC是否与特定的指针相匹配。如果推测执行中的猜测错误,PAC Oracle不会奔溃。然后使用PAC Oracle暴力破解所有可能的PAC值。

与Spectre 攻击类似,PACMAN攻击是基于推测执行的,攻击过程不会有任何日志记录。

攻击影响

该攻击影响苹果M1 CPU芯片。

漏洞时间轴

研究人员在2021年就将该漏洞和PoC代码提交给了苹果公司。苹果公司称侧信道攻击并不意味着会对Mac用户带来危险,因为需要配合安全漏洞才可以发起攻击。苹果公司无法修复该硬件漏洞来拦截使用该利用技术的攻击,好消息是只要终端用户保持软件安全更新,攻击者无法利用软件漏洞就无法使用PACMAN攻击实现代码执行。

该研究成果已被计算机体系结构领域的顶级会议ISCA录用,论文下载参见:https://pacmanattack.com/paper.pdf

更多关于pacman攻击的细节参见:https://pacmanattack.com/