Blog

A Vulnerabilidade do cdnjs em 2021 em Detalhes

Verificar se as fontes de scripts de terceiros são confiáveis é importante. Mas só isso pode não ser suficiente. Foi o que o mundo aprendeu em 2021, quando uma enorme vulnerabilidade no cdnjs da Cloudflare foi descoberta. Aqui está um resumo do que aconteceu e como. O cdnjs é uma das Redes de Distribuição de Conteúdo (CDNs) JavaScript mais utilizadas atualmente. Mais de 12% de todos os sites na internet injetam pelo menos um script via cdnjs. Um pesquisador com o apelido 'RyotaK' divulgou uma vulnerabilidade na cadeia de

Apr 28, 2024 • 4 min read

Simon Wijckmans Founder & CEO

Imagem de capa do artigo A Vulnerabilidade do cdnjs em 2021 em Detalhes

Verificar se as fontes de scripts de terceiros são confiáveis é importante. Mas só isso pode não ser suficiente.

Foi o que o mundo aprendeu em 2021, quando uma enorme vulnerabilidade no cdnjs da Cloudflare foi descoberta. Aqui está um resumo do que aconteceu e como.

O cdnjs é uma das Redes de Distribuição de Conteúdo (CDNs) JavaScript mais utilizadas atualmente. Mais de 12% de todos os sites na internet injetam pelo menos um script via cdnjs. Um pesquisador com o apelido 'RyotaK' divulgou uma vulnerabilidade na cadeia de suprimentos do cdnjs, que permitia a qualquer pessoa na internet realizar alterações nas bibliotecas do cdnjs seguindo uma sequência específica de passos. Confira os achados completos dele.

A vulnerabilidade existia dentro do servidor de atualização de bibliotecas do cdnjs. Esse módulo específico auxilia desenvolvedores a integrar pacotes populares em seus sites de forma segura.

A vulnerabilidade em detalhes

Ao publicar um arquivo .tgz no registro npm com um nome de arquivo especialmente criado para explorar essa falha de path traversal, um atacante poderia acionar o servidor de atualização de bibliotecas do cdnjs para processar o arquivo malicioso. Isso sobrescreveria um arquivo de script executado regularmente, levando à execução arbitrária de comandos nos servidores da Cloudflare.

Para provar a explorabilidade, uma demonstração foi planejada. Ela envolvia a criação de um arquivo .tgz que, ao ser processado pelo mecanismo de atualização do cdnjs, sobrescreveria um script inofensivo com código malicioso. No entanto, antes de executar esse plano, o pesquisador descobriu outro vetor de ataque potente por meio de atualizações de repositórios Git, envolvendo symlinks que poderiam potencialmente ler arquivos arbitrários do servidor de atualização.

Um erro não intencional durante o processo de demonstração levou a uma revelação significativa. Um link simbólico que deveria apontar para um arquivo inofensivo foi direcionado por engano para /proc/self/environ, expondo variáveis de ambiente sensíveis, incluindo GITHUB_REPO_API_KEY e WORKERS_KV_API_TOKEN. Esse erro revelou como um atacante poderia obter acesso à maior parte da infraestrutura do cdnjs, representando um risco de segurança enorme.

Os problemas potenciais

Isso poderia ter resultado em execução remota de código nos servidores da Cloudflare e na possibilidade de executar código malicioso nos scripts utilizados por todos os usuários finais. Isso contorna Web Application Firewalls (WAFs) e qualquer outro mecanismo de filtragem, pois é executado diretamente no próprio navegador.

Como mencionado anteriormente, isso teria exposto mais de 12% dos sites e todos os seus visitantes a um perigo imediato caso fosse explorado (após a expiração dos caches).

A Cloudflare reagiu rapidamente e tomou as medidas adequadas antes que alguém pudesse aproveitar a exploração. Ela é conhecida por seus post-mortems detalhados e muito transparentes sobre incidentes. Os detalhes completos podem ser lidos aqui.

A forma mais segura de fazer isso

Tudo isso demonstra que não basta confiar nas fontes.

Até os melhores do mundo estão sujeitos a erros. Uma abordagem mais segura é verificar o que essas fontes entregam.

É por isso que o cside existe. Oferecemos um pequeno script para adicionar a uma página web, que faz 2 coisas:

Reescreve as origens dos scripts para roteá-los pelo cside. Isso coloca o cside no fluxo da requisição entre o usuário e o script de terceiros, permitindo total visibilidade sobre os scripts servidos. Não apenas colocamos fontes em uma lista de permissões, mas analisamos profundamente cada script, em 100% das sessões. Em alguns casos, otimizações podem até ser feitas por meio do cache de scripts estáticos.
Realiza verificações de comportamento no lado do navegador.

O cside também monitora mais de 60 atributos e usa IA para sinalizar em tempo real quaisquer indicadores de intenção maliciosa. Nossa solução leva em conta o contexto histórico, o que significa que mudanças ao longo do tempo são consideradas, facilitando a identificação de sequestros. Além disso, o cside usa IA para analisar o código do script de terceiros. A combinação dos nossos mecanismos de detecção em constante evolução significa que conseguimos identificar a tentativa em milissegundos e bloqueá-la antes que qualquer operação maliciosa ocorra — ou emitir um alerta caso um comportamento perigoso seja detectado.

Comece a usar o cside hoje mesmo.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.