CloudBleed le quita la antorcha a HeartBleed: una vulnerabilidad en CloudFlare filtra datos privados de millones de sitios

Un investigador de Google ha descubierto una vulnerabilidad en CloudFlare que podría haber causado una de las filtraciones más grandes de los últimos años. El problema afecta a más de 2 millones de sitios web que filtraban datos de otros sitios al recibir solicitudes HTTP.

CloudFlare es una empresa de optimización web que ofrece una gran variedad de servicios a más de 2 millones de sitios web para mejorar el funcionamiento y seguridad de sus portales. Esta semana anunció al público que había sufrido una filtración de datos que podría haber comprometido las contraseñas, mensajes privados y otro tipo de información privada que almacenan millones de sitios, incluyendo los de Uber, FitBit, Password1 y OKCupid.

La vulnerabilidad fue causada por una vulnerabilidad en el código de CloudFlare y ha recibido el nombre de CloudBleed por sus similitudes con la infame vulnerabilidad Heartbleed, descubierta en 2015. Aunque es posible que las filtraciones de CloudBleed sean más severas, su similitud radica en que también devolvía pedazos de memoria aleatorios de los servidores vulnerables cada vez que recibía solicitudes HTTP.

El problema de filtración más grande de CloudBleed comenzó el 13 de febrero, cuando un cambio del código hizo que una de cada 3.300.300 solicitudes HTTP generara una filtración de datos. Esto causó una filtración masiva, magnificada por el gran tamaño de la red de CloudFlare.

Para empeorar las cosas, CloudFlare aloja contenido de diferentes sitios en el mismo servidor, así que una solicitud a un sitio vulnerable podía revelar información sobre otro sitio web. “Por ejemplo, si visitaste una página en uber.com, se te devuelve un pedazo de memoria de una solicitud/respuesta previa a okcupid.com”, explicó el experto en seguridad de Pen Test Partner Andrew Tierney. “Esta información privada podría haber llegado a las manos de cualquiera. No había necesidad de hacer un ataque activo para conseguir los datos – mi mamá puede tener las contraseñas de otra persona almacenada en su caché del navegador solo por haber visitado un sitio web de CloudFare”.

Además, está el agravante de que los datos comprometidos estaban siendo detectados y almacenados en caché por los motores de búsqueda, facilitando el acceso a la información filtrada.

El investigador de seguridad de Google Tavis Omandy descubrió la vulnerabilidad el 17 de febrero e informó a CloudFare sobre el problema. Sin embargo, es posible que la falla haya estado filtrando datos desde mediados de septiembre sin que nadie de la compañía se diera cuenta.

Al momento de publicar la alerta, Omandy denunció que la respuesta inicial de CloudFlare restaba importancia a la gravedad de la situación y el riesgo que significaba para los internautas. “Encontré mensajes privados de importantes sitios de citas, mensajes completos de un servicio de chat reconocido, datos de administradores de contraseñas, marcos de sitios web de videos para adultos, reservas de hotel. Hablamos de solicitudes HTTPS completas, direcciones IP de clientes, cookies, contraseñas, llaves, datos, de todo”.

De todos modos, el investigador también aplaudió a CloudFlare por su pronta respuesta a la amenaza: solo le tomó siete horas cerrar las fuentes de filtraciones. En su declaración oficial publicada esta semana, CloudFare aseguró que no había encontrado indicios de que la información filtrada se estuviera usando con fines maliciosos, pero no descarta la posibilidad de que esto suceda en un futuro.

Fuentes

The Verge

Wired

Forbes