Cloudflare: ما هرگز به polyfill.io اجازه استفاده از نام خود را ندادیم
Cloudflare، ارائهدهنده اصلی خدمات شبکه تحویل محتوا (CDN)، امنیت ابری، و محافظت از DDoS هشدار داده است که استفاده از نام یا نشانواره خود را در وبسایت Polyfill.io، که اخیراً در حال تزریق بدافزار در موارد دیگر دستگیر شده است، مجاز نکرده است. بیش از 100000 وب سایت در یک حمله زنجیره تامین قابل توجه.
علاوه بر این، برای ایمن نگه داشتن اینترنت، Cloudflare به طور خودکار پیوندهای polyfill.io را با یک آینه ایمن در وبسایتهایی که از محافظت از Cloudflare (از جمله طرحهای رایگان) استفاده میکنند، جایگزین میکند.
Cloudflare: «هشدار دیگر» Polyfill قابل اعتماد نیست
Cloudflare از استفاده غیرمجاز Polyfill.io از نام و نشانواره آن انتقاد کرده است زیرا میتواند کاربران را گمراه کند که این وبسایت غیرقانونی توسط Cloudflare تأیید شده است.
رهبر امنیت ابری همچنین هشدار داد که این دلیل دیگری برای اعتماد نکردن به Polyfill.io است.
Polyfill.io حاوی پیام «محافظت امنیتی Cloudflare» است که ممکن است اشتباه تعبیر شود (BleepingComputer)
تیم Cloudflare در یک پست وبلاگی که دیروز منتشر شد نوشت: «برخلاف آنچه در وبسایت polyfill.io بیان شده است، Cloudflare هرگز سرویس polyfill.io را توصیه نکرده یا اجازه استفاده از نام Cloudflare را در وبسایت خود نداده است».
ما از آنها خواسته ایم که اظهارات نادرست را حذف کنند و آنها تاکنون به درخواست های ما توجهی نکرده اند.
این احتیاط به دنبال کشف حمله زنجیره تامین Polyfill.io است که بیش از 100000 وب سایت را هدف قرار داد.
در ماه فوریه، یک نهاد چینی به نام «Funnull» دامنه polyfill.io را خرید و کدهای مخرب را در اسکریپتهای ارائهشده توسط CDN خود معرفی کرد.
همانطور که توسط محققان Sansec کشف شد، دامنه شروع به تزریق بدافزار به دستگاههای تلفن همراه کرد که از یک وبسایت کد جاسازی شده از cdn.polyfill[.]io بازدید میکردند.
دیروز، BleepingComputer مشاهده کرد که ورودیهای DNS برای cdn.polyfill[.]io به طور مرموزی روی سرورهای Cloudflare تنظیم شده است، اما این نشانه قطعی از وجود حمله نیست زیرا مالکان دامنه (جدید) میتوانند به راحتی DNS را به سرورهای مخرب برگردانند. .
علاوه بر این، کاملاً ممکن است که مالکان Polyfill.io مانند هر وبسایت دیگری از سرویسهای حفاظتی DDoS Cloudflare استفاده کرده باشند، اما این به معنای تأیید دامنه توسط Cloudflare نیست.
BleepingComputer قبلاً با Cloudflare تماس گرفته بود تا ببیند آیا آنها در تغییر رکوردهای DNS نقش دارند یا خیر، اما پاسخی دریافت نکردند. از امروز، polyfill.io دیگر آنلاین نیست.
جایگزینی خودکار URL به صورت رایگان ارائه میشود
در 24 ساعت گذشته، Cloudflare یک سرویس بازنویسی خودکار URL را برای جایگزینی پیوندهای polyfill.io در وبسایتهای مشتریان Cloudflare با راهاندازی CDN آینه ای ایمن توسط Cloudflare منتشر کرده است.
تیم Cloudflare در همین رابطه اعلام کرد: «ما در 24 ساعت گذشته یک سرویس خودکار بازنویسی URL جاوا اسکریپت را منتشر کردهایم که هر پیوند به polyfill.io را که در وبسایتی که توسط Cloudflare پروکسی شده است را به پیوندی به mirror ما در زیر cdnjs بازنویسی میکند.» پست وبلاگ.
“این کار از شکستن عملکرد سایت جلوگیری می کند و در عین حال خطر حمله زنجیره تامین را کاهش می دهد.”
هر وبسایتی در طرح رایگان اکنون این ویژگی را بهطور خودکار فعال میکند. وبسایتهای موجود در هر طرح پولی میتوانند با یک کلیک این ویژگی را روشن کنند.»
سرویس بازنویسی URL کتابخانه های جاوا اسکریپت ناامن Cloudflare (Cloudflare)
کاربران Cloudflare میتوانند این تنظیم جدید را در قسمت Security ⇒ Settings در هر منطقه با استفاده از Cloudflare پیدا کنند.
برای کسانی که از Cloudflare استفاده نمیکنند، این شرکت هنوز هم پیشنهاد میکند هر گونه استفاده از polyfill.io را حذف کنند و راهحل جایگزینی را شناسایی کنند.
این شرکت میگوید: «در حالی که عملکرد جایگزینی خودکار اکثر موارد را مدیریت میکند، بهترین روش حذف polyfill.io از پروژههای خود و جایگزینی آن با یک آینه جایگزین امن مانند Cloudflare است، حتی اگر مشتری هستید».
میتوانید این کار را با جستجو در مخازن کد خود برای نمونههایی از polyfill.io و جایگزینی آن با cdnjs.cloudflare.com/polyfill/ (آینه Cloudflare) انجام دهید. این یک تغییر غیرقابل شکست است زیرا دو URL محتوای polyfill یکسانی را ارائه میکنند. همه صاحبان وبسایت، صرفنظر از وبسایتی که از Cloudflare استفاده میکنند، باید این کار را اکنون انجام دهند.»
یکی دیگر از شرکتهای امنیت سایبری Leak Signal نیز یک وبسایت به نام Polykill.io ایجاد کرده است که به شما امکان میدهد سایتهایی را با استفاده از cdn.polyfill.io جستجو کنید و اطلاعاتی را درباره جابجایی به گزینههای جایگزین ارائه میدهد.
