Jahrzehntealte Squid-Proxy-Schwachstelle Squidbleed legt Benutzerdaten offen – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Jahrzehntealte Squid-Proxy-Schwachstelle Squidbleed legt Benutzerdaten offen

Eine kritische Schwachstelle namens 'Squidbleed', die seit 1997 existiert, wurde in der beliebten Squid-Proxy-Software entdeckt. Die Schwachstelle hat das Potenzial, sensible Benutzerdaten in gemeinsam genutzten Netzwerken preiszugeben.

Ein Netzwerk-Proxy-Server und ein Datenleck-Konzept, das die Squidbleed-Schwachstelle symbolisiert.

Was ist passiert

Die Cybersicherheitswelt wird von der Entdeckung einer kritischen Schwachstelle erschüttert, die fast drei Jahrzehnte lang unbemerkt existierte. Sicherheitsforscher von Calif.io haben eine Speicherleck-Schwachstelle in Squid, einem weit verbreiteten Open-Source-Web-Proxy-Server, identifiziert, die bis ins Jahr 1997 zurückreicht. Die Forscher nannten sie 'Squidbleed' aufgrund ihrer Ähnlichkeit mit einer der berüchtigtsten Schwachstellen in der Geschichte der Cybersicherheit, Heartbleed in OpenSSL.

Offiziell unter CVE-2026-47729 geführt, liegt dieser Fehler in einer Kernfunktion von Squid, speziell in der Komponente, die FTP-Protokolldaten parst. Squid wird in Millionen von Systemen zur Verwaltung des Internetverkehrs, zur Einsparung von Bandbreite und zur Verbesserung der Zugriffsgeschwindigkeiten durch Caching eingesetzt. Diese Systeme reichen von Unternehmensnetzwerken über Schulen bis hin zu öffentlichen WLAN-Hotspots. Die Tatsache, dass die Schwachstelle so lange unentdeckt blieb, verdeutlicht die potenziellen Risiken, die in alten Codebasen lauern, und unterstreicht die Bedeutung regelmäßiger Code-Audits und moderner Sicherheitstests. Interessanterweise wurde die Entdeckung eines so alten und tief verwurzelten Fehlers durch das KI-Modell Claude Mythos von Anthropic unterstützt. Dies zeigt, wie künstliche Intelligenz zu einem leistungsstarken Werkzeug in der Cybersicherheit wird, insbesondere bei der Identifizierung komplexer Fehler, die dem menschlichen Auge entgehen könnten.

Welche Daten wurden kompromittiert

Die Squidbleed-Schwachstelle zielt direkt auf sensible Benutzerinformationen ab. Angreifer, die diesen Fehler ausnutzen, können Daten aus unverschlüsselten HTTP-Anfragen anderer Benutzer abfangen, die denselben Proxy-Server verwenden. Zu diesen Daten gehören äußerst kritische Informationen:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Anmeldeinformationen: Informationen, die zur Anmeldung bei verschiedenen Websites und Online-Diensten verwendet werden, wie Benutzernamen und Passwörter.
  • Sitzungs-Token (Session Tokens): Digitale Schlüssel, die einen Benutzer auf einer Website angemeldet halten. Wenn sie abgefangen werden, kann ein Angreifer diesen Benutzer imitieren.
  • API-Schlüssel: Spezielle Schlüssel, die es verschiedenen Anwendungen ermöglichen, miteinander zu kommunizieren, und die oft Zugriff auf wertvolle Daten oder Funktionen gewähren.

Die Kompromittierung dieser Informationen kann zu Identitätsdiebstahl, Finanzbetrug und unbefugtem Zugriff auf Unternehmensnetzwerke führen. Aufgrund der Natur der Schwachstelle kann das Leck still und ohne das Wissen des Opfers erfolgen. Der Umfang der offengelegten Daten hängt von der Art des unverschlüsselten Datenverkehrs ab, der über den Proxy läuft. Obwohl ein großer Teil des modernen Internets mit HTTPS verschlüsselt ist, gibt es immer noch Fälle, insbesondere in Unternehmens- und Altsystemumgebungen, in denen sensible Daten über unverschlüsseltes HTTP übertragen werden. Diese Umgebungen sind der fruchtbarste Boden für Squidbleed-Angriffe. Ein Vorfall dieser Art nimmt einen bedeutenden Platz in der sich ständig aktualisierenden Welt der Datenleck-Nachrichten ein.

Wie geschah der Angriff

Die technische Grundlage des Angriffs beruht auf einem Speicherverwaltungsfehler, der als 'Out-of-Bounds Read' (Lesen außerhalb der Grenzen) bekannt ist. Die Codekomponente in Squid, die den FTP-Verkehr (File Transfer Protocol) verarbeitet, kann Daten außerhalb ihres zugewiesenen Speicherpuffers lesen. Dieser 'überlaufende' Bereich kann übrig gebliebene Daten von einer früheren HTTP-Anfrage enthalten, die von einem anderen Benutzer über denselben Proxy gestellt wurde.

Um den Angriff auszuführen, muss der Angreifer einen FTP-Server kontrollieren, der vom Proxy aus erreichbar ist. Der Angriff läuft in folgenden Schritten ab:

  1. Der Angreifer richtet seinen eigenen bösartigen FTP-Server ein.
  2. Der Angreifer veranlasst den Ziel-Squid-Proxy, eine Anfrage an diesen FTP-Server zu senden.
  3. Wenn der Proxy eine Verbindung zum FTP-Server herstellt, wird der Fehler im FTP-Parser ausgelöst, wodurch das Programm beginnt, Daten außerhalb seines Speicherpuffers zu lesen.
  4. Diese gelesenen Daten sind Fragmente einer früheren HTTP-Anfrage eines anderen Benutzers, die sich zufällig an diesem Speicherort befinden.
  5. Der Angreifer sammelt diese durchgesickerten Daten stillschweigend über seinen FTP-Server.

Der beunruhigendste Aspekt der Schwachstelle ist, dass sie Standard-HTTPS-Verbindungen nicht betrifft. Wenn ein Benutzer einen Ende-zu-Ende-verschlüsselten HTTPS-Tunnel (CONNECT-Methode) über den Proxy verwendet, sind seine Daten sicher. Wenn jedoch der Proxy selbst die TLS-Verschlüsselung beendet (d. h. den Datenverkehr am Proxy entschlüsselt und dann wieder verschlüsselt) oder wenn der Datenverkehr vollständig unverschlüsselt ist (HTTP), sind die Daten gefährdet. Diese Konfiguration ist in Unternehmensnetzwerken zur Überprüfung und Filterung des Datenverkehrs üblich.

Wer ist betroffen

Squidbleed stellt ein erhebliches Risiko dar, insbesondere in gemeinsam genutzten Proxy-Umgebungen. Dies bedeutet jede Einrichtung, bei der der Internetverkehr mehrerer Benutzer oder Geräte über eine einzige Squid-Proxy-Instanz geleitet wird. Potenziell betroffene Umgebungen sind:

  • Unternehmensnetzwerke: Unternehmen, die Proxys wie Squid zur Verwaltung, Filterung und Sicherung des Internetzugangs von Mitarbeitern verwenden.
  • Schulen und Universitäten: Bildungseinrichtungen, die zentrale Proxy-Systeme zur Kontrolle des Netzwerkverkehrs für Schüler und Personal einrichten.
  • Öffentliche WLAN-Netzwerke: Drahtlose Netzwerke, die an Orten wie Hotels, Cafés und Flughäfen angeboten werden und den Benutzerverkehr über einen Proxy leiten.
  • Internetdienstanbieter (ISPs): Einige Anbieter, die Proxys für Caching und Verkehrsoptimierung für ihre Kunden verwenden.

In diesen Umgebungen könnte ein Angreifer im selben Netzwerk heimlich Daten von anderen Benutzern abgreifen. Ein Angreifer, der mit einem öffentlichen WLAN in einem Café verbunden ist, könnte potenziell die E-Mail-Passwörter oder Social-Media-Sitzungsinformationen anderer Kunden im selben Netzwerk erfassen.

Was Sie tun können

Für Squid-Proxy-Administratoren und -Benutzer gibt es klare Schritte, um die Auswirkungen dieser Schwachstelle zu mindern. Das Squid-Projekt hat Updates zur Behebung des Problems veröffentlicht.

  • Software aktualisieren: Die effektivste Lösung ist ein Upgrade der Squid-Proxy-Software auf eine gepatchte Version. Die Schwachstelle wurde mit einem Patch behoben, der im April 2026 in Squid Version 8 integriert wurde. Zusätzlich enthält auch Squid Version 7.6, die im Juni 2026 veröffentlicht wurde, diesen Patch. Systemadministratoren wird dringend empfohlen, so schnell wie möglich auf eine dieser Versionen zu aktualisieren.
  • FTP-Unterstützung deaktivieren: Wenn das FTP-Protokoll in Ihrem Netzwerk nicht verwendet wird, ist der sicherste Ansatz, die FTP-Unterstützung in der Squid-Konfiguration zu deaktivieren, um das Risiko vollständig zu eliminieren. Da sich die Schwachstelle speziell im FTP-Parser befindet, wird durch die Deaktivierung dieses Protokolls der Angriffsvektor entfernt.
  • Verkehrsverschlüsselung erzwingen: Erzwingen Sie die Verwendung von Ende-zu-Ende-Verschlüsselung (HTTPS), wo immer dies möglich ist. Wenn eine TLS-Terminierung am Proxy verwendet wird, überprüfen Sie die Risiken dieser Konfiguration und stellen Sie sicher, dass der Datenverkehr auch im internen Netzwerk nicht unverschlüsselt bleibt.

Was sagt das Unternehmen

Der Quellartikel enthält keine direkte offizielle Erklärung des Squid-Projekts oder seiner Entwickler. Die Reaktion des Projekts auf die Schwachstelle war jedoch schnell und effektiv. Nach der Offenlegung ergriffen die Entwickler Maßnahmen zur Behebung des Problems und integrierten schnell Patches in die Hauptcodebasis. Die Veröffentlichung von Squid 8 im April 2026 und Squid 7.6 im Juni 2026 zeigt, dass die Open-Source-Community Sicherheitsmeldungen ernst nimmt und die notwendigen Schritte zum Schutz ihrer Benutzer unternimmt. Die Forscher von Calif.io stellten fest, dass sie neben dieser Entdeckung mit Hilfe von KI auch eine weitere hochgradig kritische Schwachstelle in OpenSSL und eine DoS-Angriffstechnik namens HTTP/2 Bomb gefunden haben, die Server schnell offline nehmen kann.

Quelle

https://www.securityweek.com/decades-old-squid-proxy-flaw-squidbleed-can-expose-user-data/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Datenleck bei Texas Parks & Wildlife betrifft 3 Millionen

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.