苹果搜索机器人因代理服务器配置不当泄漏内部 IP
一名安全研究员发现,爬取自己播客内容的苹果搜索机器人因代理服务器配置不当而泄漏内部 IP。而苹果花了9个多月才修复。
代理服务器是试图连接到互联网目的地和目的地本身之间的中间代理。例如,如果你从企业设置下访问 codesafe.qianxin.com,那么你的工作站就可能通过公司的代理提出请求,进一步和上述网站进行沟通,获取请求的页面。
使用代理服务器的原因有很多。在工作场所,网络管理员通过代理服务器拦截并过滤流量,拦截对恶意网站的访问权限。同样,负责爬取并索引 Web 资源的搜索引擎机器人可能就出于安全原因,使用了代理服务器。
除非有匿名要求(如某些 VPN),那么多数代理服务器代表其它设备连接到某台服务器时,在 HTTP 请求中包含来源设备的 IP 信息。例如,代理请求可能包含 X-Forwarded-For 或 Via HTTP 标头披露了源设备的 IP 地址并通知目的地称请求源自代理服务器。
Applebot 指的是负责扫描网络为用户查找内容的苹果 Web 爬虫器,苹果的多款产品如 Siri 和 Spotlight Suggestions 等使用它。
上个月,安全研究员兼播客创始人 David Comber 发现,Applebot 一直使用的一个代理服务器泄漏苹果的内部 IP 地址。他指出,“在任何一天,我都会看到导向自己 Webserver 的大量噪音,源自机器人搜刮内容或扫描通过 Tor 实施攻击的‘研究’。于是我想查看有多少通过代理服务器路由的连接会暴露自己。“他指的是由 Applebot 爬虫器发送的Via 和 X-Forwarded-For 标头。
向 Coomber 网站发送的样本请求均包含这两种标头,它们披露了代理服务器背后设备的内部IP地址:
17.X.X.X "HEAD /mixes/podcast.jpg HTTP/1.1" 301 "iTMS" "1.1 pv50XXX.apple.com (proxy product)" "X.X.X.12"
以上分别所列的字段是代理的外部 IP 地址、请求路径、HTTP 响应码、用户代理/Web 浏览器信息以及 Via 和 X-Forwarded-For 标头值。
他在博客文章中指出,“尽管我看到有一些配置不当的机器人,但我发现苹果的 Podcast 机器人用于抓取我自己播客的代理,从 Via 和 X-Forwarded-For 标头泄漏内部 IP 地址和主机名时还是很惊讶。“
Coomber 指出,苹果已在2020年9月29日解决了信息泄漏问题,大概距离漏洞报告提交已过去9个月的时间,具体原因未知。
Coomber 表示,“2019年12月21日,我向苹果产品安全团队提交了漏洞详情。他们确认问题后,我协助他们一起从内部代理基础设施中删除了这两个标头,其代理基础设施配置为扫描 Apple Podcasts 上可见的内容更新。“
推荐措施时检查你的代理服务器的配置。
应该确保代理产品未通过代理提出的 HTTP 请求中的 Via、X-Forwarded-For、X-ProxyUser-Ip 或类似标头泄漏来源 IP 地址。
Coomber 建议称,”如果你的环境中运行一个 forward 代理,那么你可能需要考虑删除 ‘Via’ 和 ‘X-Forwarded-For’ 标头。“
他分享了使用 Squid 代理服务器的网络管理员可以实现的样本配置规则:
via offforwarded_for delete2020年7月,Coomber 报告了另外一个 Applebot 问题,爬虫器并未完全遵守 robots.txt 文件中规定的规则。
苹果尚未就此事置评。
Ping of Death:速修复 TCP/IP RCE 漏洞 CVE-2020-16898
https://www.bleepingcomputer.com/news/security/apple-search-bot-leaked-internal-ips-via-proxy-configuration/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。