Un bug de CloudFlare deja descubiertos millones de datos sensibles de páginas y usuarios

Un bug de CloudFlare deja descubiertos millones de datos sensibles de páginas y usuarios
by Janeth Kent Date: 27-02-2017 cloudflare cdn hacking

Una vulnerabilidad de seguridad severa Se ha descubierto en la red CDN CloudFlare que ha provocado que los sitios web de gran nombre expongan claves de sesión privadas y otros datos confidenciales.

CloudFlare, una red de distribución de contenido (CDN) y proveedor de seguridad web que ayuda a optimizar la seguridad y el rendimiento de más de 5,5 millones de sitios web en Internet, advierte a sus clientes del error crítico que podría haber expuesto una amplia gama de información confidencial, Cookies y fichas utilizadas para autenticar usuarios.

El así llamado Cloudbleed, la desagradable falla lleva una variante del nombre del bug Heartbleed que fue descubierto en 2014, pero se cree que este fallo es peor que Heartbleed.

La vulnerabilidad es tan grave que no sólo afecta a los sitios web de la red CloudFlare, sino que también afecta a las aplicaciones móviles.

¿Qué es exactamente "Cloudbleed", cómo funciona, cómo se ve afectado por este error y cómo puede protegerse? Vamos a entenderlo.

 

Qué es Cloudbleed?

Descubierto por el security researcher de Google Project Zero Tavis Ormandy hace una semana Cloudbleed es una falla importante en el servicio de infraestructura de Internet Cloudflare que causa la pérdida de claves de sesión privada y otra información sensible a través de sitios web alojados detrás de Cloudflare.

CloudFlare actúa como un proxy entre el usuario y el servidor web, que almacena en caché el contenido de los sitios web que se encuentran detrás de su red global y reduce el número de solicitudes al servidor host original analizando el contenido a través de los servidores perimetrales de Cloudflare para optimización y seguridad.

Hace una semana, Ormandy descubrió un problema de overflow de búfer con los servidores de Cloudflare que devolvían errores de memoria que contenía datos privados como las cookies HTTP, los tokens de autenticación y los cuerpos HTTP POST, con algunos datos ya filtrados En caché por los motores de búsqueda.

 

Aquí podemos ver cuanto serio es el peligro de Cloudbleed:

 

"Estoy encontrando mensajes privados de importantes sitios de citas, mensajes completos de un conocido servicio de chat, datos de administrador de contraseñas en línea, marcos de sitios de video para adultos, reservas de hoteles ", escribió Ormandy en un blog publicado el jueves. Estamos hablando de peticiones HTTPS completas, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves, datos, todo."

Según Ormandy, Cloudflare tenía código en su característica "ScrapeShield" que hizo algo similar a esto:

 

 

int Length = ObfuscateEmailAddressesInHtml(&OutputBuffer, CachedPage);
write(fd, OutputBuffer, Length);

 

Pero la compañía no estaba comprobando si los analizadores de ofuscación devolvieron un valor negativo debido a HTML malicioso.

La función ScrapeShield de Cloudflare analiza y obfusca HTML, pero como los proxies inversos se comparten entre los clientes, afectaría a todos los clientes de CloudFlare.

Ormandy se puso en contacto con Cloudflare e informó sobre sus hallazgos. La compañía identificó la causa del problema e inmediatamente inhabilitó 3 funciones menores de Cloudflare: ocultación de correo electrónico, Excluidas del servidor, así como Reintentos HTTPS automáticos, que utilizaban la misma cadena de analizador de HTML, que causaba la pérdida.

Ormandy observó las claves de cifrado, las contraseñas, las cookies, los trozos de datos POST y las solicitudes HTTPS para los otros sitios web líderes alojados en Cloudflare de otros usuarios e inmediatamente se puso en contacto con Cloudflare.

Desde que CloudFlare corrigió el problema pero no notificó a los clientes el miércoles sobre el problema de la fuga de datos, Ormandy hizo públicos sus hallazgos el jueves, siguiendo la política de siete días de Project Zero para ataques explotados activamente.

Tras la divulgación pública de la vulnerabilidad de Ormandy el jueves, CloudFlare confirmó la falla, asegurando a sus clientes que sus claves privadas de SSL no se filtraron.

"Cloudflare siempre ha terminado las conexiones SSL a través de una instancia aislada de NGINX que no fue afectada por este error ", escribió John Graham-Cumming, un CTO de Cloudflare en una publicación en el blog." El error era grave porque la memoria filtrada podía contener información privada y porque tenía Han sido almacenados en caché por los motores de búsqueda."
"Estamos revelando este problema ahora, ya que estamos satisfechos de que los cachés de los motores de búsqueda se han eliminado de la información sensible", agregó. "Tampoco hemos descubierto ninguna evidencia de explotaciones maliciosas del bug o de otros informes de su existencia".

 

Donde está el bug de CloudBleed:

 

La causa raíz de la vulnerabilidad de Cloudbleed era que "al llegar al final de un búfer se comprobaba usando el operador de igualdad y un puntero podía pasar el final del búfer".

"Si el cheque hubiera sido hecho usando> = en lugar de == saltando sobre el final del búfer habría sido capturado" , dijo Cumming.

Cloudflare también ha confirmado que el mayor período de impacto fue entre el 13 de febrero y el 18 de febrero con casi una de cada 3.300.000 solicitudes HTTP a través de Cloudflare potencialmente resultando en fugas de memoria, que es de aproximadamente 0,00003% de las solicitudes.

Sin embargo, el investigador argumentó que el proveedor de DNS era de double-dealing, alegando que la vulnerabilidad Cloudbleed había existido durante meses, sobre la base de datos en caché de Google.
 

¿Cómo te afecta a Cloudbleed?


Hay un gran número de servicios y sitios web de Cloudflare que usan el análisis de páginas HTML y las modifican a través de los servidores proxy de Cloudflare.

Incluso si no usas CloudFlare directamente, eso no significa que te hayas salvado. Siempre existe la posibilidad de que los sitios web que visites y los servicios web que utilices se hayan visto afectados, ya que también se han filtrado los datos.

Por supuesto, si estás utilizando los servicios de Cloudflare frente a tu sitio, la falla podría impactarte, exponiendo información confidencial que fluyó entre tus servidores y usuarios finales a través de los proxies de CloudFlare.

Mientras que el servicio de CloudFlare fue rápidamente arreglando el error y ha dicho que el impacto real es relativamente menor, los datos estaban goteando constantemente antes de esto - durante meses.

Algunos de estos datos fueron filtrados públicamente en caché en motores de búsqueda como Google, Bing, Yahoo, que ahora lo eliminó, pero algunos motores como DuckDuckGo aún albergan esos datos.

Además, otros datos filtrados podrían existir en otros servicios y cachés en toda la Web, lo cual es imposible de eliminar en todas estas ubicaciones.

 

 

Cloudbleed también afecta a las aplicaciones móviles

 

 

Cloudbleed también afecta a las aplicaciones móviles, ya que, en muchos casos, las aplicaciones están diseñadas para utilizar los mismos backends que los navegadores para la entrega de contenido y la terminación HTTPS (SSL / TLS).

Los usuarios de YCombinator han confirmado la presencia de datos de encabezado HTTP para aplicaciones como Discord, FitBit y Uber mediante la búsqueda a través de cachés DuckDuckGo con términos de búsqueda específicos.

 

¿Qué debes hacer con el error Cloudbleed?

Se recomienda encarecidamente a los usuarios en línea que restablezcan sus contraseñas para todas las cuentas en caso de que hayan reutilizado las mismas contraseñas en cada sitio, así como supervisen la actividad de la cuenta de cerca a medida que se está llevando a cabo la limpieza.

Además, se aconseja a los clientes que utilizan Cloudflare para sus sitios web forzar un cambio de contraseña para todos sus usuarios.

 
by Janeth Kent Date: 27-02-2017 cloudflare cdn hacking visitas : 4178  
 
Janeth Kent

Janeth Kent

Licenciada en Bellas Artes y programadora por pasión. Cuando tengo un rato retoco fotos, edito vídeos y diseño cosas. El resto del tiempo escribo en MA-NO WEB DESIGN AND DEVELOPMENT.

 
 
 

Artículos relacionados

Como funciona el nuevo servicio DNS 1.1.1.1 de Cloudflare

El proveedor de DNS gratuito Cloudflare ha lanzado recientemente una nueva aplicación para iOS y Android, "1.1.1.1.1", que hace increíblemente fácil enrutar todas las solicitudes de DNS de su dispositivo…

Cloudflare, que es y para que sirve

CloudFlare protege, acelera y optimiza sitios web, es un sistema gratuito que actúa como un proxy (intermediario) entre los visitantes del sitio web y el servidor, osea que opera una…

Como lograr instalar certificados SSL gratis en Wordpress con Cloudflare

Este artículo es parte de una serie de artículos sobre la optimización de Wordpress con Cloudflare y algunos tipos de servidores, se aconseja leer estos artículos antes: Speed up your site…

Clicky