Sangrado de nubes

Error de seguridad que afecta a Cloudflare

Cloudbleed fue un desbordamiento de búfer de Cloudflare divulgado por Project Zero el 17 de febrero de 2017. El código de Cloudflare divulgó el contenido de la memoria que contenía la información privada de otros clientes, como cookies HTTP , tokens de autenticación , cuerpos HTTP POST y otros datos confidenciales. ^[1] Como resultado, los datos de los clientes de Cloudflare se filtraron a todos los demás clientes de Cloudflare que tenían acceso a la memoria del servidor. Esto ocurrió, según los números proporcionados por Cloudflare en ese momento, más de 18.000.000 de veces antes de que se corrigiera el problema. ^{[2] [3]} Algunos de los datos filtrados fueron almacenados en caché por los motores de búsqueda . ^{[3] [4] [5] [6] [7] [8]}

Descubrimiento

El equipo Project Zero de Google informó sobre el descubrimiento . ^[1] Tavis Ormandy ^[9] publicó el problema en el rastreador de problemas de su equipo y dijo que informó a Cloudflare sobre el problema el 17 de febrero. En su propio ataque de prueba de concepto, logró que un servidor de Cloudflare devolviera "mensajes privados de los principales sitios de citas, mensajes completos de un servicio de chat conocido, datos de un administrador de contraseñas en línea, fotogramas de sitios de videos para adultos, reservas de hoteles. Estamos hablando de solicitudes https completas, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves, datos, todo". ^[1]

Similitudes con Heartbleed

En sus efectos, Cloudbleed es comparable al error Heartbleed de 2014 , ya que permitió a terceros no autorizados acceder a los datos en la memoria de los programas que se ejecutaban en servidores web, incluidos los datos que habían sido protegidos mientras estaban en tránsito por TLS . ^{[10] [11]} Cloudbleed probablemente también afectó a tantos usuarios como Heartbleed, ya que afectó a una red de distribución de contenido que prestaba servicio a casi dos millones de sitios web. ^{[4] [11]}

Tavis Ormandy , el primero en descubrir la vulnerabilidad, inmediatamente hizo una comparación con Heartbleed , diciendo que "le tomó toda su fuerza no llamar a este problema 'cloudbleed'" en su informe. ^[1]

Reacciones

Nube de llamas

El jueves 23 de febrero de 2017, Cloudflare escribió una publicación en la que señalaba que: ^[12]

El error fue grave porque la memoria filtrada podría contener información privada y porque los motores de búsqueda la habían almacenado en caché. Tampoco hemos descubierto ninguna evidencia de que se haya utilizado el error de forma maliciosa ni otros informes sobre su existencia.
El período de mayor impacto fue del 13 al 18 de febrero, con alrededor de 1 de cada 3.300.000 solicitudes HTTP a través de Cloudflare que potencialmente resultaron en una fuga de memoria (es decir, aproximadamente el 0,00003 % de las solicitudes).

Cloudflare reconoció que la memoria podría haberse filtrado ya el 22 de septiembre de 2016. La compañía también afirmó que una de sus propias claves privadas, utilizadas para el cifrado de máquina a máquina, se ha filtrado.

Resultó que el error subyacente que causó la pérdida de memoria había estado presente en nuestro analizador basado en Ragel durante muchos años, pero no se produjo ninguna pérdida de memoria debido a la forma en que se utilizaron los búferes internos de NGINX . La introducción de cf-html cambió sutilmente el almacenamiento en búfer, lo que permitió la pérdida a pesar de que no había problemas en cf-html en sí. ^[3]

John Graham-Cumming , director de tecnología de Cloudflare , señaló que los clientes de Cloudflare, como Uber y OkCupid, no fueron informados directamente de las filtraciones debido a los riesgos de seguridad que implicaba la situación. “No hubo comunicación de puerta trasera fuera de Cloudflare, solo con Google y otros motores de búsqueda”, dijo. ^[6]

Graham-Cumming también dijo que "desafortunadamente, era el antiguo software el que contenía un problema de seguridad latente y ese problema sólo apareció cuando estábamos en el proceso de migrar y dejar de usarlo". Agregó que su equipo ya comenzó a probar su software para detectar otros posibles problemas. ^[7]

Equipo del Proyecto Cero de Google

Tavis Ormandy inicialmente declaró que estaba "realmente impresionado con la rápida respuesta de Cloudflare y con su dedicación a solucionar este desafortunado problema". ^[1] Sin embargo, cuando Ormandy presionó a Cloudflare para obtener información adicional, "dieron varias excusas que no tenían sentido", ^[13] antes de enviar un borrador que "resta severamente el riesgo para los clientes". ^[14]

Uber

Uber afirmó que el impacto en su servicio fue muy limitado. ^[10] Un portavoz de Uber agregó que "solo se vieron involucrados unos pocos tokens de sesión y desde entonces se cambiaron. Las contraseñas no quedaron expuestas". ^[15]

OKCupid

Elie Seidman, director ejecutivo de OKCupid, afirmó: "CloudFlare nos alertó anoche sobre su error y hemos estado investigando su impacto en los miembros de OkCupid. Nuestra investigación inicial ha revelado que la exposición fue mínima, si es que la hubo. Si determinamos que alguno de nuestros usuarios se ha visto afectado, se lo notificaremos de inmediato y tomaremos medidas para protegerlo". ^{[10] [15]}

Fitbit

Fitbit afirmó que habían investigado el incidente y que solo habían descubierto que "unas pocas personas se vieron afectadas". Recomendaron que los clientes afectados cambien sus contraseñas y borren los tokens de sesión revocando y volviendo a agregar la aplicación a su cuenta. ^[16]

1Contraseña

En una publicación de blog, Jeffery Goldberg afirmó que ningún dato de 1Password estaría en riesgo debido a Cloudbleed, citando el uso del servicio del protocolo Secure Remote Password (SRP) , en el que el cliente y el servidor prueban su identidad sin compartir ningún secreto a través de la red. Los datos de 1Password se cifran adicionalmente utilizando claves derivadas de la contraseña maestra del usuario y un código de cuenta secreto, que según Goldberg protegería las credenciales incluso si se vulneraran los propios servidores de 1Password. 1Password no sugirió a los usuarios cambiar su contraseña maestra en respuesta a una posible vulneración que involucrara el error. ^[17]

Remediación

Muchos de los principales medios de comunicación aconsejaron a los usuarios de los sitios alojados por Cloudflare que cambiaran sus contraseñas, ya que incluso las cuentas protegidas por autenticación multifactor podrían estar en riesgo. ^{[18] [19] [20] [7] [21]} Las contraseñas de las aplicaciones móviles también podrían haberse visto afectadas. ^[22] Los investigadores de Arbor Networks , en una alerta, sugirieron que "para la mayoría de nosotros, la única respuesta verdaderamente segura a esta fuga de información a gran escala es actualizar nuestras contraseñas para los sitios web y los servicios relacionados con las aplicaciones que usamos todos los días... Casi todos ellos". ^[23]

Sin embargo, el columnista de ciberseguridad de la revista Inc. , Joseph Steinberg, aconsejó a las personas no cambiar sus contraseñas, afirmando que "el riesgo actual es mucho menor que el precio a pagar por una mayor 'fatiga de ciberseguridad' que conducirá a problemas mucho mayores en el futuro". ^[24]

Referencias

1. "Problema 1139: Cloudflare: los servidores proxy inversos de Cloudflare están volcando memoria no inicializada". 19 de febrero de 2017. Consultado el 24 de febrero de 2017 .
2. "Acerca de Cloudflare". Cloudflare. Archivado del original el 4 de marzo de 2017. Consultado el 16 de junio de 2021. Cada semana, el usuario promedio de Internet nos contacta más de 500 veces.
3. "Informe de incidente sobre pérdida de memoria causada por un error del analizador de Cloudflare". Cloudflare. 23 de febrero de 2017. Archivado desde el original el 23 de febrero de 2017. Consultado el 24 de febrero de 2017. 1 de cada 3.300.000 solicitudes HTTP a través de Cloudflare potencialmente resultó en una pérdida de memoria.
4. Thomson, Iain (24 de febrero de 2017). "Cloudbleed: las grandes marcas web filtraron claves criptográficas y secretos personales gracias a un error de Cloudflare". The Register . Consultado el 24 de febrero de 2017 .
5. Burgess, Matt. "Cloudflare ha estado filtrando detalles privados de Uber, Fitbit y Ok Cupid durante meses". WIRED UK . Consultado el 24 de febrero de 2017 .
6. Conger, Kate (24 de febrero de 2017). "Un importante error de Cloudflare filtró datos confidenciales de los sitios web de los clientes". TechCrunch . Consultado el 24 de febrero de 2017 .
7. "CloudFlare filtró datos confidenciales a través de Internet durante meses". Fortune . Consultado el 24 de febrero de 2017 .
8. Wagstaff, Jeremy (24 de febrero de 2017). "Un error provoca una fuga de datos personales, pero no hay señales de que los piratas informáticos lo estén explotando: Cloudflare". Reuters .
9. Marc Rogers entrevistado en el programa de televisión Triangulation de la cadena TWiT.tv
10. Fox-Brewster, Thomas. "Google acaba de descubrir una filtración masiva en la Web... y es posible que quieras cambiar todas tus contraseñas". Forbes . Consultado el 24 de febrero de 2017 .
11. Estes, Adam Clark. "Todo lo que necesita saber sobre Cloudbleed, el último desastre de seguridad en Internet". Gizmodo . Consultado el 24 de febrero de 2017 .
12. "Explicación del error de pérdida de memoria de CloudBleed: por qué sucedió | PcSite". PcSite . 25 de febrero de 2017 . Consultado el 3 de marzo de 2017 .
13. "1139 - proyecto-cero - Proyecto Cero - Monorriel".
14. "1139 - proyecto-cero - Proyecto Cero - Monorriel".
15. Larson, Selena (24 de febrero de 2017). "Por qué no deberías asustarte (todavía) por la fuga de seguridad de 'Cloudbleed'". CNNMoney . Consultado el 24 de febrero de 2017 .
16. "Artículo de ayuda: ¿Cómo mantiene Fitbit la seguridad de mis datos en vista del problema de seguridad de Cloudflare?". help.fitbit.com . Archivado desde el original el 7 de julio de 2017. Consultado el 13 de julio de 2020 .
17. "Tres capas de cifrado te mantienen seguro cuando falla SSL/TLS | 1Password". Blog de 1Password . 23 de febrero de 2017 . Consultado el 30 de diciembre de 2023 .
18. "Cloudbleed: Cómo lidiar con ello". Medium . 24 de febrero de 2017 . Consultado el 24 de febrero de 2017 .
19. "Cloudbleed Explained: Flaw Exposes Mountains of Private Data" (Explicación de Cloudbleed: una falla expone montañas de datos privados). Popular Mechanics . 24 de febrero de 2017. Consultado el 24 de febrero de 2017 .
20. Constantin, Lucian. «Un error en Cloudflare expuso contraseñas y otros datos confidenciales de sitios web». CIO . Archivado desde el original el 25 de febrero de 2017. Consultado el 24 de febrero de 2017 .
21. Menegus, Bryan. "Cambie sus contraseñas ahora". Gizmodo . Consultado el 24 de febrero de 2017 .
22. Weinstein, David (24 de febrero de 2017). "El impacto del error 'Cloudbleed' de Cloudflare en las aplicaciones móviles: muestra de datos de..." NowSecure . Consultado el 24 de febrero de 2017 .
23. "Dark Reading - Cloudflare filtró datos de clientes web durante meses". www.darkreading.com . Consultado el 25 de febrero de 2017 .
24. Joseph Steinberg (24 de febrero de 2017). "Por qué puede ignorar las llamadas para cambiar sus contraseñas después del anuncio de la filtración masiva de contraseñas de hoy". Inc. Consultado el 24 de febrero de 2017 .

Enlaces externos

• Lista de dominios que utilizan DNS de Cloudflare en GitHub
• Sitio web sencillo que le permite comprobar rápidamente los dominios afectados
• Una extensión de Chrome que comprueba los marcadores frente a dominios potencialmente afectados
• Cloudbleed explicado: cómo se produjo la mayor fuga de caché web en Internet
• Cuantificación del impacto del error CloudBleed