Cloudbleed fue un desbordamiento de búfer de Cloudflare revelado por Project Zero el 17 de febrero de 2017. El código de Cloudflare reveló el contenido de la memoria que contenía la información privada de otros clientes, como cookies HTTP , tokens de autenticación , cuerpos HTTP POST y otros datos confidenciales. [1] Como resultado, los datos de los clientes de Cloudflare se filtraron a todos los demás clientes de Cloudflare que tenían acceso a la memoria del servidor. Esto ocurrió, según los números proporcionados por Cloudflare en ese momento, más de 18.000.000 de veces antes de que se corrigiera el problema. [2] [3] Algunos de los datos filtrados fueronalmacenado en caché por los motores de búsqueda . [3] [4] [5] [6] [7] [8]
Descubrimiento
El descubrimiento fue informado por el equipo de Google Project Zero . [1] Tavis Ormandy [9] publicó el problema en el rastreador de problemas de su equipo y dijo que informó a Cloudflare del problema el 17 de febrero. En su propio ataque de prueba de concepto, consiguió que un servidor Cloudflare devolviera "mensajes privados de las principales sitios de citas, mensajes completos de un servicio de chat conocido, datos del administrador de contraseñas en línea, marcos de sitios de videos para adultos, reservas de hoteles. Estamos hablando de solicitudes https completas, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves, datos, todo." [1]
Similitudes con Heartbleed
En sus efectos, Cloudbleed es comparable al error Heartbleed de 2014 , ya que permitió a terceros no autorizados acceder a datos en la memoria de programas que se ejecutan en servidores web, incluidos datos que habían sido protegidos mientras estaban en tránsito por TLS . [10] [11] Cloudbleed también probablemente afectó a tantos usuarios como Heartbleed, ya que afectó a una red de entrega de contenido que presta servicios a casi dos millones de sitios web. [4] [11]
Tavis Ormandy , el primero en descubrir la vulnerabilidad, inmediatamente hizo una comparación con Heartbleed , diciendo que "se necesitó cada gramo de fuerza para no llamar a este problema 'cloudbleed'" en su informe. [1]
Reacciones
Cloudflare
El jueves 23 de febrero de 2017, Cloudflare escribió una publicación en la que señalaba que: [12]
El error era grave porque la memoria filtrada podía contener información privada y porque los motores de búsqueda la habían almacenado en caché. Tampoco hemos descubierto ninguna evidencia de exploits maliciosos del error u otros informes de su existencia.
El período de mayor impacto fue del 13 de febrero al 18 de febrero, con alrededor de 1 de cada 3,300,000 solicitudes HTTP a través de Cloudflare que potencialmente resultaron en una pérdida de memoria (eso es aproximadamente el 0.00003% de las solicitudes).
Cloudflare reconoció que la memoria podría haberse filtrado ya el 22 de septiembre de 2016. La compañía también declaró que una de sus propias claves privadas, utilizada para el cifrado de máquina a máquina, se había filtrado.
Resultó que el error subyacente que causó la pérdida de memoria había estado presente en nuestro analizador basado en Ragel durante muchos años, pero no se filtró memoria debido a la forma en que se usaron los búferes internos de NGINX . La introducción de cf-html cambió sutilmente el almacenamiento en búfer que permitió la fuga a pesar de que no hubo problemas en cf-html en sí. [3]
John Graham-Cumming , CTO de Cloudflare , señaló que los clientes de Cloudflare, como Uber y OkCupid, no fueron informados directamente de las filtraciones debido a los riesgos de seguridad involucrados en la situación. "No hubo comunicación de puerta trasera fuera de Cloudflare, solo con Google y otros motores de búsqueda", dijo. [6]
Graham-Cumming también dijo que "Desafortunadamente, era la pieza de software antigua que contenía un problema de seguridad latente y ese problema solo apareció cuando estábamos en el proceso de migrar lejos de él". Agregó que su equipo ya ha comenzado a probar su software para detectar otros posibles problemas. [7]
Equipo de Google Project Zero
Tavis Ormandy inicialmente declaró que estaba "realmente impresionado con la rápida respuesta de Cloudflare y lo dedicados que están a limpiar este desafortunado problema". [1] Sin embargo, cuando Ormandy presionó a Cloudflare para obtener información adicional, "dieron varias excusas que no tenían sentido", [13] antes de enviar un borrador que "minimiza gravemente el riesgo para los clientes". [14]
Uber
Uber declaró que el impacto en su servicio fue muy limitado. [10] Un portavoz de Uber agregó que "solo un puñado de tokens de sesión estaban involucrados y desde entonces se han cambiado. Las contraseñas no se expusieron". [15]
OK Cupido
El director ejecutivo de OKCupid, Elie Seidman, dijo: "CloudFlare nos alertó anoche de su error y hemos estado investigando su impacto en los miembros de OkCupid. Nuestra investigación inicial ha revelado una exposición mínima, si es que la hay. Si determinamos que alguno de nuestros usuarios ha sido afectados, les notificaremos de inmediato y tomaremos medidas para protegerlos ". [10] [15]
Fitbit
Fitbit declaró que habían investigado el incidente y solo encontraron que "un puñado de personas se vieron afectadas". Recomendaron que los clientes preocupados deberían cambiar sus contraseñas y borrar los tokens de sesión revocando y volviendo a agregar la aplicación a su cuenta. [dieciséis]
Remediación
Muchos medios de comunicación importantes aconsejaron a los usuarios de los sitios alojados por Cloudflare que cambiaran sus contraseñas, ya que incluso las cuentas protegidas por autenticación multifactor podrían estar en riesgo. [17] [18] [19] [7] [20] Las contraseñas de las aplicaciones móviles también podrían haberse visto afectadas. [21] Investigadores de Arbor Networks , en una alerta, sugirieron que "Para la mayoría de nosotros, la única respuesta verdaderamente segura a esta fuga de información a gran escala es actualizar nuestras contraseñas para los sitios web y los servicios relacionados con aplicaciones que usamos todos los días. ... Casi todos ellos ". [22]
El columnista de ciberseguridad de la revista Inc. , Joseph Steinberg, sin embargo, recomendó a las personas que no cambien sus contraseñas, afirmando que "el riesgo actual es mucho menor que el precio a pagar en una mayor 'fatiga de ciberseguridad' que conduce a problemas mucho mayores en el futuro". [23]
Referencias
- ^ a b c d e "Problema 1139: cloudflare: los proxies inversos de Cloudflare están volcando memoria no inicializada" . 19 de febrero de 2017 . Consultado el 24 de febrero de 2017 .
- ^ "Acerca de Cloudflare" . Cloudflare. Archivado desde el original el 4 de marzo de 2017 . Consultado el 16 de junio de 2021 .
Cada semana, el usuario medio de Internet nos toca más de 500 veces.
- ^ a b c "Informe de incidente sobre pérdida de memoria causada por error del analizador de Cloudflare" . Cloudflare. 23 de febrero de 2017. Archivado desde el original el 23 de febrero de 2017 . Consultado el 24 de febrero de 2017 .
1 de cada 3,300,000 solicitudes HTTP a través de Cloudflare potencialmente resultó en una pérdida de memoria.
- ^ a b Thomson, Iain (24 de febrero de 2017). "Cloudbleed: Grandes marcas web filtraron claves criptográficas, secretos personales gracias al error de Cloudflare" . El registro . Consultado el 24 de febrero de 2017 .
- ^ Burgess, Matt. "Cloudflare ha estado filtrando detalles privados de Uber, Fitbit y Ok Cupid durante meses" . REINO UNIDO CON CABLE . Consultado el 24 de febrero de 2017 .
- ^ a b Conger, Kate. "Un error importante de Cloudflare filtró datos confidenciales de los sitios web de los clientes" . TechCrunch . Consultado el 24 de febrero de 2017 .
- ^ a b c "CloudFlare filtró datos confidenciales a través de Internet durante meses" . Fortuna . Consultado el 24 de febrero de 2017 .
- ^ Reuters (24 de febrero de 2017). "Error provoca fuga de datos personales, pero no hay señales de que los piratas informáticos exploten: Cloudflare" . The New York Times . ISSN 0362-4331 . Consultado el 24 de febrero de 2017 .
- ^ Marc Rogers entrevistado en el programa de televisión Triangulation en lared TWiT.tv
- ^ a b c Fox-Brewster, Thomas. "Google acaba de descubrir una fuga masiva en la web ... y es posible que desee cambiar todas sus contraseñas" . Forbes . Consultado el 24 de febrero de 2017 .
- ^ a b Estes, Adam Clark. "Todo lo que necesita saber sobre Cloudbleed, el último desastre de seguridad en Internet" . Gizmodo . Consultado el 24 de febrero de 2017 .
- ^ "Explicación del error de fuga de memoria de CloudBleed: por qué sucedió todo | TechBuzzIn ™" . TechBuzzIn ™ . 2017-02-25 . Consultado el 3 de marzo de 2017 .
- ^ "1139 - proyecto-cero - Proyecto cero - Monorraíl" .
- ^ "1139 - proyecto-cero - Proyecto cero - Monorraíl" .
- ^ a b Larson, Selena (24 de febrero de 2017). "Por qué no debería asustarse (todavía) por la filtración de seguridad 'Cloudbleed'" . CNNMoney . Consultado el 24 de febrero de 2017 .
- ^ "Artículo de ayuda: ¿Cómo mantiene Fitbit mis datos seguros a la luz del problema de seguridad de Cloudflare?" . help.fitbit.com . Archivado desde el original el 7 de julio de 2017 . Consultado el 13 de julio de 2020 .
- ^ "Cloudbleed: cómo lidiar con él" . Medio . 2017-02-24 . Consultado el 24 de febrero de 2017 .
- ^ "Explicación de Cloudbleed: defecto expone montañas de datos privados" . Mecánica popular . 2017-02-24 . Consultado el 24 de febrero de 2017 .
- ^ Constantin, Lucian. "Contraseñas expuestas a errores de Cloudflare, otros datos sensibles de sitios web" . CIO . Consultado el 24 de febrero de 2017 .
- ^ Menegus, Bryan. "Cambie sus contraseñas. Ahora" . Gizmodo . Consultado el 24 de febrero de 2017 .
- ^ Weinstein, David (24 de febrero de 2017). "Impacto de error de Cloudflare 'Cloudbleed' en aplicaciones móviles: muestra de datos de ..." NowSecure . Consultado el 24 de febrero de 2017 .
- ^ "Lectura oscura: datos de clientes web filtrados de Cloudflare durante meses" . www.darkreading.com . Consultado el 25 de febrero de 2017 .
- ^ Joseph Steinberg (24 de febrero de 2017). "Por qué puede ignorar las llamadas para cambiar sus contraseñas después del anuncio de fuga masiva de contraseñas de hoy" . Inc . Consultado el 24 de febrero de 2017 .
enlaces externos
- Lista de dominios que usan Cloudflare DNS en GitHub
- Sitio web simple que le permite verificar rápidamente los dominios afectados
- Una extensión de Chrome que compara los marcadores con los dominios potencialmente afectados.
- Cloudbleed explicó: cómo ocurrió la mayor fuga de caché web en Internet
- Cuantificando el impacto del error CloudBleed