A védvonalon rés tátong: kritikus hiba a Cloudflare WAF-ban
A Cloudflare szakemberei egy komoly biztonsági hibát javítottak ki a cég webalkalmazás-tűzfalában (WAF), amely lehetőséget adott támadóknak arra, hogy megkerüljék a tűzfalat, és közvetlenül elérjék az eredeti szervereket. Ez akár adatlopáshoz vagy a szerver teljes átvételéhez is vezethetett volna.
Probléma az automatikus tanúsítvány-ellenőrzésnél
A hiba az ACME (Automatikus Tanúsítványkezelő Környezet) protokoll hitelesítési logikájában jelentkezett. Az ACME-t főként SSL/TLS-tanúsítványok kiadására és megújítására használják, ahol a tanúsítványkiadó előbb lekéri egy meghatározott formátumú aloldalon a hitelesítési tokent, például http://{domain}/.well-known/acme-challenge/{token}. Ha minden rendben, a domain tulajdonosa megkapja a tanúsítványt. Ennek során a WAF-nak (tűzfal) ki kell engednie az ilyen, tanúsítvány-robotok által generált kéréseket, de a rosszindulatú forgalmat tiltania kell.
Egy logikai hiba miatt azonban a Cloudflare rendszerében elég volt, ha a kérés tartalmazott egy megfelelő formátumú tokent, és a WAF-védelem teljesen leállt — akkor is, ha az adott token nem volt aktív az adott domainhez. Így egy támadó könnyen megkerülhette a védelmet, és elérhette a szervert.
Villámgyors javítás, új veszélyek
A sérülékenységet a FearsOff szakértői jelentették októberben, és a Cloudflare október 27-én javította. Mostantól csak ténylegesen aktív, a domainhez tartozó ACME HTTP-01 kihívás esetén kapcsol ki a WAF. Szerencsére nem találtak bizonyítékot arra, hogy bárki kihasználta volna a hibát a javítás előtt.
A felhőalapú rendszerek biztonsága azonban egyre sebezhetőbb, hiszen a gépi tanulással vezérelt, automatizált eszközök könnyen azonosítják és kihasználják az ilyen logikai réseket. Egy jól célzott MI-alapú támadás akár egy szűk karbantartási útvonalból is széles támadási felületet varázsolhat.
🐅 Szeptemberben a Stelvio Nemzeti Park hegyóriásai között, a Fraele-völgyben egy vagány fotós, Elio Della Ferrera belebotlott minden paleontológus álmába: kétezer dinoszauruszlábnyom hemzseg egyetlen sziklafalon...
A kilencvenes években Alex Ross a Csodák (Marvels) és az Eljövendő királyság (Kingdom Come) minisorozatokkal robbant be a képregények világába, ahol egyedi, hipervalósághű festészete nemcsak borítókon, hanem belső oldalakon is megjelent...
Az alig 73 000 forintba kerülő Samsung Galaxy A17 5G első pillantásra elképesztő vételnek tűnik: hatalmas, fényes kijelző, meglepően jó kamerák, illetve hat éven át biztosított szoftveres és biztonsági frissítések...
💡 Erre utal többek között az, hogy az MI-technológia fejlődése már nem csupán a grafikus processzorokról (GPU-król) szól – egyre nagyobb szerep jut a memóriának is...
🤔 Na, megint eljött az évnek az a misztikus időszaka, amikor a Google nem bírja ki, hogy egyszerűen csak kiírja nekünk az I/O fejlesztői esemény dátumát...
A jelszókezelők évek óta a digitális biztonság egyik legfontosabb eszközei, hiszen arra hivatottak, hogy minden belépési adatodat szigorúan titkosítva tárolják, akkor is, ha az őket futtató felhőszolgáltató rendszere veszélybe kerül...
💸 A vezető technológiai vállalatok jelenleg olyan ütemben fektetnek be a mesterséges intelligenciába, hogy elképzelhető: néhányuk szabad pénzárama veszélyesen alacsony szintre eshet...
Írország adatvédelmi hatósága hivatalos vizsgálatot indított az X ellen, amiért a platform Grok nevű MI-eszközével valós emberekről – köztük gyerekekről – hozzájárulás nélkül szexuális képeket készítettek...
🚫 Az Európai Parlament minden beépített MI-funkciót letiltott a hivatalos munkaeszközökön, miután komoly aggodalmak merültek fel az adatbiztonság és a kibervédelem terén...
A mindennapok részévé váltak azok a rendszerek, amelyek korábban csak látványos csevegőprogramok voltak: ma már oktatási intézményekben, irodákban és kórházakban is az MI segíti a munkát...
🛑 A Shein, a szingapúri gyorsdivatcég, megint bajban van, mert az Európai Bizottság szerint túl addiktív a vásárlási élmény, és bőven akadnak problémás cuccok is a kínálatban – beleértve az illegális és veszélyes termékeket...
💰 A Snap hamarosan elérhetővé teszi a Creator Subscriptions nevű szolgáltatást, amellyel a legaktívabb rajongók havidíjas előfizetéssel támogathatják kedvenc Snapchat-tartalomgyártóikat, és ezért exkluzív tartalmakat kaphatnak...
🔥 A Samsung tényleg mindenhová feltolja az AI-t: a telefonoktól a háztartási gépekig, most pedig gátlástalanul beteríti vele az egész közösségi médiáját is...
🚀 A Tejútrendszer közepének vizsgálata során a kutatók egy lenyűgöző rádiójelet figyeltek meg: egy elképesztően gyors, mindössze 8,19 ezredmásodpercenként forgó pulzárt, amely a Sagittarius A* nevű szupermasszív fekete lyuk közelében található...
📷 Az X platform már megint bajban van: újabb uniós vizsgálat indult, mert a Grok MI-rendszer tömegesen készített engedély nélküli, szexuális tartalmú képeket, köztük gyermekekről...
🚇 Kapaszkodj meg: hackerek kezdték árulni a sötét weben azokat az érzékeny utasadatokat, amelyeket nemrég loptak el az Eurail hollandiai szervereiről...
💻 Március 4-én ismét az Apple kerül reflektorfénybe: a vállalat egy különleges eseményt jelentett be, amelyen várhatóan több, régóta várt eszközt is bemutathat...
Nehéz elhinni, de a kreatív szoftverpiac egyik leglátványosabb fordulatát a Canva hozta el, amikor felvásárolta a nagy múltú Affinity csomagot, és minden fő funkcióját ingyenessé tette...
Az indiai Adani-csoport egészen elképesztő, 37 ezermilliárd forintos beruházást tervez a következő évtizedben, hogy mesterségesintelligencia-alkalmazások futtatására alkalmas adatközpontokat fejlesszen szerte Indiában...
