偷偷加入漏洞挖掘竞赛的丹麦学生找到Cloudflare未上市服务漏洞

一名丹麦学生未获邀请偷偷参加Cloudflare漏洞挖掘方案,但并未因此受罚,反而因在尚未上市的服务找到漏洞,获得6,000美元的报酬。

Cloudflare去年9月公布Email Routing服务不公开测试版(private beta),只邀请少数用户及研究人员试用,只有特定域名获准访问这项服务。年轻的丹麦安全研究人员Albert Pedersen坦承自己并未受邀,于是决定自己偷偷参加。在利用工具截取变造了向Cloudflare网页发送的调用后,他意外通过Cloudflare服务器端的验证,成功加入封闭测试,并在其域名上设立了Email Routing服务。

而这也正是他发现漏洞的时候。他在其Cloudflare账号下,以主要Gmail邮件信箱设立Cloudflare Email Routing服务,以其作为邮件转发的目的地信箱。正常情况下,一个Cloudflare账号只能将该服务设立在一个域名上,因为该域名已获得验证。但是同一个域名在不同账号下可能则可以是未经验证的状态。

在完成第1个合法信箱的注册后,他又以同一域名,以另一个(尚未验证的)电子邮件信箱注册为Email Routing服务的目的地信箱。结果研究人员发现,寄向第1个合法账号的邮件流向了第2个信箱。而第1个信箱的邮件路由设置,则被第2次信箱设置复写掉。

这意味着,攻击者可以借由这个漏洞,注册和受害者相同的电子邮件信箱,将邮件导向自己的信箱,可以阻止邮件送到受害者手上,读取其信件,也可以变更信箱密码而接管该信箱。

研究人员在去年12月7日通过漏洞挖掘平台HackOne通报漏洞,2天后,Cloudflare就修补了这项漏洞。根据HackerOne上的资讯,Pedersen因此项发现获得3,000美元的漏洞挖掘奖金,不过上周他的奖金又提高为6,000美元。

这项服务还未上市,目前是公开测试版阶段,Cloudflare表示本漏洞没有遭到开采。