Уязвимость CDN от Cloudflare позволяла взломать 12% сайтов в Сети

Екатерина Быстрова 19 Июля 2021 - 09:35

Домашние пользователи

...

Cloudflare устранила критическую уязвимость в своей бесплатной CDN (Content Delivery Network, сеть доставки контента) с открытым исходный кодом — CDNJS. По имеющимся данным, эта брешь затрагивала 12,7% всех веб-сайтов в Сети.

CDNJS обслуживает миллионы веб-ресурсов, предоставляя более 4 тысяч библиотек JavaScript и CSS, хранящихся на GitHub. Таким образом, это вторая по размеру CDN для доставки JavaScript.

Использование уязвимости подразумевает публикацию пакетов CDNJS с помощью GitHub и npm, что приводит к проблеме класса Path Traversal и удалённому выполнению кода. Успешная эксплуатация позволяет полностью скомпрометировать инфраструктуру CDNJS.

Об этом векторе рассказал специалист в области кибербезопасности, использующий онлайн-псевдоним RyotaK. По словам эксперта, ему удалось выявить метод полной компрометации инфраструктуры Cloudflare CDNJS в процессе исследования атак на цепочки поставок.

Само собой, такая брешь в руках злоумышленников могла оказаться опасным оружием, поскольку многие веб-сайты полагаются на CDN для загрузки популярных библиотек JavaScript и CSS. Если условный онлайн-магазин использует уязвимую систему доставки контента, это может ударить по покупателям.

В ходе исследования RyotaK обратил внимание на интересную особенность cdnjs.com: у специалиста была возможность предложить новую библиотеку через репозиторий GitHub. После этого эксперт понял, что этот репозиторий вместе с соседними поддерживал всю экосистему CDNJS в рабочем состоянии.

В итоге RyotaK нашёл способ обманом заставить серверы выполнить произвольный код. Для этого специалист использовали скрипты, хранящиеся в cdnjs/bot-ansible и cdnjs/tools. Именно эти скрипты периодически доставляли на сервер CDNJS обновлённые версии библиотек, выпущенные их авторами.

Исследователь задумался: что случится, если у опубликованной им библиотеки будет соответствующая версия npm, содержащая эксплойт для Path Traversal. Свои эксплойты RyotaK спрятал в архивах ZIP / TGZ. Это известная темника, получившая распространение в 2018 году под именем ZIP Slip.

Специалист, которому в результате удалось запустить Bash-скрипты на сервере, сообщил о проблеме Cloudflare посредством программы HackerOne. Команда разработчиков среагировала очень оперативно, выпустив патчи в течение считаных часов.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Апреля 2026 - 14:54

Домашние пользователи Защита от мошенничества

Яндекс будет предупреждать, если вашим близким звонят мошенники

У «Яндекса» появилась новая функция в определителе номера: теперь сервис может уведомлять пользователя, если его родственникам или близким звонят с подозрительных номеров — или если они сами перезванивают мошенникам. Идея простая: если, например, пожилому человеку позвонили злоумышленники, об этом узнает кто-то из доверенных и сможет быстро вмешаться.

Причём система не ограничивается моментом звонка. Определитель продолжает анализировать номер ещё в течение суток, и если позже он «переобуется» в мошеннический, уведомление всё равно придёт.

Оповещения можно получать разными способами: через пуши в приложениях «Яндекса», по СМС или в мессенджерах. Пользователь сам выбирает, как именно ему удобнее.

Работает это через связку доверенных лиц. Чтобы подключить функцию, нужно добавить человека, который будет получать уведомления, в настройках определителя номера. С другой стороны, этот человек должен согласиться принимать такие оповещения.

В одном аккаунте можно указать до трёх доверенных контактов. Таким образом, за одним пользователем могут присматривать сразу несколько близких и, наоборот, один человек может следить за безопасностью нескольких родственников.

Функция уже доступна в «Яндекс Браузере» и приложении «Яндекс с Алисой» на Android.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!