Cloudbleed

Cloudbleed fue un desbordamiento del búfer de Cloudflare revelado por Project Zero el 17 de febrero de 2017. El código de Cloudflare reveló el contenido de la memoria que contenía información privada de otros clientes, como cookies HTTP, tokens de autenticación, cuerpos HTTP POST y otros datos confidenciales. [1]​ Como resultado, los datos de los clientes de Cloudflare se filtraron a todos los demás clientes de Cloudflare que tenían acceso a la memoria del servidor. Esto ocurrió, según cifras proporcionadas por Cloudflare en ese momento, más de 18.000.000 de veces antes de que se corrigiera el problema. [2][3]​ Algunos de los datos filtrados fueron almacenados en caché por los motores de búsqueda. [3][4][5][6][7][8]

Descubrimiento

[editar]

El descubrimiento fue informado por el equipo Project Zero de Google. [9]Tavis Ormandy publicó el problema en el rastreador de problemas de su equipo y dijo que informó a Cloudflare sobre el problema el 17 de febrero. En su propio ataque de prueba de concepto, consiguió que un servidor Cloudflare devolviera "mensajes privados de los principales sitios de citas, mensajes completos de un conocido servicio de chat, datos del administrador de contraseñas en línea, marcos de sitios de videos para adultos, reservas de hotel". Estamos hablando de solicitudes HTTPS completas, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves, datos, todo". [9]

Similitudes con Heartbleed

[editar]

En sus efectos, Cloudbleed es comparable al error Heartbleed de 2014, en el sentido de que permitió a terceros no autorizados acceder a datos en la memoria de programas que se ejecutan en servidores web, incluidos datos que habían sido protegidos durante el tránsito por TLS . [10][11]​ Es probable que Cloudbleed también haya afectado a tantos usuarios como Heartbleed, ya que afectó a una red de entrega de contenido que presta servicios a casi dos millones de sitios web. [12][11]

Tavis Ormandy, el primero en descubrir la vulnerabilidad, inmediatamente hizo una comparación con Heartbleed, diciendo que "se necesitó cada gramo de fuerza para no llamar a este problema 'cloudbleed'" en su informe. [13]

Reacciones

[editar]

Cloudflare

[editar]

El jueves 23 de febrero de 2017, Cloudflare escribió una publicación señalando que: [14]

El error era grave porque la memoria filtrada podía contener información privada y porque los motores de búsqueda la habían almacenado en caché. Tampoco hemos descubierto ninguna evidencia de explotaciones maliciosas del error u otros informes de su existencia. El mayor período de impacto fue del 13 y 18 de febrero, con aproximadamente 1 de cada 3.300.000 solicitudes HTTP a través de Cloudflare, lo que podría provocar una pérdida de memoria (es decir, aproximadamente el 0,00003 % de las solicitudes).

Cloudflare reconoció que la memoria podría haberse filtrado ya el 22 de septiembre de 2016. La compañía también afirmó que se ha filtrado una de sus propias claves privadas, utilizada para el cifrado de máquina a máquina.

Resultó que el error subyacente que causó la pérdida de memoria había estado presente en nuestro analizador basado en Ragel durante muchos años, pero no se filtró memoria debido a la forma en que se usaron los buffers internos de NGINX . La introducción de cf-html cambió sutilmente el almacenamiento en búfer, lo que permitió la fuga a pesar de que no hubo problemas en cf-html en sí.

John Graham-Cumming, CTO de Cloudflare, señaló que los clientes de Cloudflare, como Uber y OkCupid, no fueron informados directamente de las filtraciones debido a los riesgos de seguridad involucrados en la situación. "No había comunicación de puerta trasera fuera de Cloudflare, sólo con Google y otros motores de búsqueda", dijo. [15]

Graham-Cumming también dijo que "Desafortunadamente, era el antiguo software el que contenía un problema de seguridad latente y ese problema sólo apareció cuando estábamos en el proceso de migrar fuera de él". Añadió que su equipo ya ha comenzado a probar su software para detectar otros posibles problemas. [16]

Equipo del Proyecto Cero de Google

[editar]

Tavis Ormandy inicialmente declaró que estaba "realmente impresionado con la rápida respuesta de Cloudflare y lo dedicados que están a solucionar este desafortunado problema". [17]​ Sin embargo, cuando Ormandy presionó a Cloudflare para obtener información adicional, "dieron varias excusas que no tenían sentido", [18]​ antes de enviar un borrador que "minimiza gravemente el riesgo para los clientes". [19]

Uber

[editar]

Uber afirmó que el impacto en su servicio fue muy limitado. [20]​ Un portavoz de Uber agregó que "sólo un puñado de tokens de sesión estuvieron involucrados y desde entonces se cambiaron. Las contraseñas no fueron expuestas". [21]

OKCupid

[editar]

Elie Seidman, director ejecutivo de OKCupid, dijo: "CloudFlare nos alertó anoche de su error y hemos estado investigando su impacto en los miembros de OkCupid. Nuestra investigación inicial ha revelado una exposición mínima, si es que hay alguna. Si determinamos que alguno de nuestros usuarios ha sido afectados, les notificaremos de inmediato y tomaremos medidas para protegerlos". [22][23]

Fitbit

[editar]

Fitbit afirmó que habían investigado el incidente y sólo encontraron que "un puñado de personas se vieron afectadas". Recomendaron que los clientes preocupados cambiaran sus contraseñas y borraran los tokens de sesión revocando y volviendo a agregar la aplicación a su cuenta. [24]

1Password

[editar]

En una publicación de blog, Jeffery Goldberg declaró que ningún dato de 1Password estaría en riesgo debido a Cloudbleed, citando el uso por parte del servicio del protocolo Secure Remote Password (SRP), en el que el cliente y el servidor prueban su identidad sin compartir ningún secreto a través de la red. . Los datos de 1Password se cifran adicionalmente utilizando claves derivadas de la contraseña maestra del usuario y un código de cuenta secreto, que según Goldberg protegería las credenciales incluso si los propios servidores de 1Password fueran violados. 1Password no sugirió a los usuarios que cambiaran su contraseña maestra en respuesta a una posible infracción relacionada con el error. [25]

Medidas para hacerle frente

[editar]

Muchos medios de comunicación importantes aconsejaron a los usuarios de sitios alojados en Cloudflare que cambiaran sus contraseñas, ya que incluso las cuentas protegidas por autenticación multifactor podrían estar en riesgo. [26][27][28][29][30]​ Las contraseñas de las aplicaciones móviles también podrían haberse visto afectadas. [31]​ Los investigadores de Arbor Networks, en una alerta, sugirieron que "Para la mayoría de nosotros, la única respuesta verdaderamente segura a esta fuga de información a gran escala es actualizar nuestras contraseñas para los sitios web y servicios relacionados con aplicaciones que utilizamos todos los días... Casi todos." [32]

Sin embargo, el columnista de ciberseguridad de Inc. Magazine, Joseph Steinberg, aconsejó a la gente que no cambiara sus contraseñas, afirmando que "el riesgo actual es mucho menor que el precio a pagar en una mayor 'fatiga de ciberseguridad' que conducirá a problemas mucho mayores en el futuro". [33]

Referencias

[editar]
  1. «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». 19 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  2. «About Cloudflare». Cloudflare. Archivado desde el original el 4 de marzo de 2017. Consultado el 16 de junio de 2021. «Every week, the average Internet user touches us more than 500 times.» 
  3. a b «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de febrero de 2017. Archivado desde el original el 23 de febrero de 2017. Consultado el 24 de febrero de 2017. «1 in every 3,300,000 HTTP requests through Cloudflare potentially resulted in memory leakage.» 
  4. Thomson, Iain (24 de febrero de 2017). «Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug». The Register. Consultado el 24 de febrero de 2017. 
  5. Burgess, Matt. «Cloudflare has been leaking private Uber, Fitbit and Ok Cupid details for months». WIRED UK (en inglés británico). Consultado el 24 de febrero de 2017. 
  6. Conger, Kate (24 de febrero de 2017). «Major Cloudflare bug leaked sensitive data from customers' websites». TechCrunch. Consultado el 24 de febrero de 2017. 
  7. «CloudFlare Leaked Sensitive Data Across the Internet For Months». Fortune. Consultado el 24 de febrero de 2017. 
  8. Wagstaff, Jeremy (24 de febrero de 2017). «Bug causes personal data leak, but no sign of hackers exploiting: Cloudflare». Reuters. 
  9. a b «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». 19 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  10. Fox-Brewster, Thomas. «Google Just Discovered A Massive Web Leak... And You Might Want To Change All Your Passwords». Forbes. Consultado el 24 de febrero de 2017. 
  11. a b Estes, Adam Clark. «Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster». Gizmodo (en inglés estadounidense). Consultado el 24 de febrero de 2017. 
  12. Thomson, Iain (24 de febrero de 2017). «Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug». The Register. Consultado el 24 de febrero de 2017. 
  13. «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». 19 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  14. «CloudBleed memory leak bug explained-why it all happened | PcSite». PcSite (en inglés estadounidense). 25 de febrero de 2017. Consultado el 3 de marzo de 2017. 
  15. Conger, Kate (24 de febrero de 2017). «Major Cloudflare bug leaked sensitive data from customers' websites». TechCrunch. Consultado el 24 de febrero de 2017. 
  16. «CloudFlare Leaked Sensitive Data Across the Internet For Months». Fortune. Consultado el 24 de febrero de 2017. 
  17. «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». 19 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  18. «1139 - project-zero - Project Zero - Monorail». 
  19. «1139 - project-zero - Project Zero - Monorail». 
  20. Fox-Brewster, Thomas. «Google Just Discovered A Massive Web Leak... And You Might Want To Change All Your Passwords». Forbes. Consultado el 24 de febrero de 2017. 
  21. Larson, Selena (24 de febrero de 2017). «Why you shouldn't freak out (yet) about the 'Cloudbleed' security leak». CNNMoney. Consultado el 24 de febrero de 2017. 
  22. Fox-Brewster, Thomas. «Google Just Discovered A Massive Web Leak... And You Might Want To Change All Your Passwords». Forbes. Consultado el 24 de febrero de 2017. 
  23. Larson, Selena (24 de febrero de 2017). «Why you shouldn't freak out (yet) about the 'Cloudbleed' security leak». CNNMoney. Consultado el 24 de febrero de 2017. 
  24. «Help article: How is Fitbit keeping my data secure in light of the Cloudflare security issue?». help.fitbit.com. Archivado desde el original el 7 de julio de 2017. Consultado el 13 de julio de 2020. 
  25. «Three layers of encryption keeps you safe when SSL/TLS fails | 1Password». 1Password Blog (en inglés). 23 de febrero de 2017. Consultado el 30 de diciembre de 2023. 
  26. «Cloudbleed: How to deal with it». Medium. 24 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  27. «Cloudbleed Explained: Flaw Exposes Mountains of Private Data». Popular Mechanics (en inglés). 24 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  28. Constantin, Lucian. «Cloudflare bug exposed passwords, other sensitive data from websites». CIO (en inglés). Archivado desde el original el 25 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  29. «CloudFlare Leaked Sensitive Data Across the Internet For Months». Fortune. Consultado el 24 de febrero de 2017. 
  30. Menegus, Bryan. «Change Your Passwords. Now.». Gizmodo (en inglés estadounidense). Consultado el 24 de febrero de 2017. 
  31. Weinstein, David (24 de febrero de 2017). «Cloudflare 'Cloudbleed' bug impact on mobile apps: Data sample of...». NowSecure (en inglés estadounidense). Consultado el 24 de febrero de 2017. 
  32. «Dark Reading - Cloudflare Leaked Web Customer Data For Months». www.darkreading.com (en inglés). Consultado el 25 de febrero de 2017. 
  33. Joseph Steinberg (24 de febrero de 2017). «Why You Can Ignore Calls To Change Your Passwords After Today's Massive Password Leak Announcement». Inc. Consultado el 24 de febrero de 2017.