Esta semana ha visto la luz una vulnerabilidad a través de la cual se podía obtener información privada de las webs usando los servicios proxy de Cloudfare. Debido a esto y aunque según datos de la propia Cloudfare el número de peticiones http afectadas representan un pequeño tanto por ciento del total de su tráfico gestionado, se recomienda a todos aquellos usuarios que utilicen webs relacionadas con este servicio proxy que cambien sus contraseñas.

cloudfare

El pasado día 18 de Febrero, Tavis Ormandy, investigador del Project Zero de Google, descubrió que a través de ciertas peticiones web, Cloudfare devolvía a través de su servicio de proxy datos privados de las webs, sin relación alguna con la petición original. Este servicio de proxy es utilizado por el content delivery network (CDN) y el servicio de mitigación de ataques de denegación de servicio (DDoS).

Al parecer, el servicio de proxy usaba un parser de HTML mal programado, lo que provocaba que este sirviera contenido de otras zonas de la memoria de algunos de sus servidores perimetrales en las respuestas HTTP. Rápidamente se pusieron en marcha 2 equipos de trabajo en Londres y en San Francisco que junto con el equipo de Google comenzaron a trabajar ininterrumpidamente sobre el fallo.

Se localizaron y deshabilitaron en un primer momento 3 servicios que utilizaban este parser. Se trata del servicio de ofuscación de direcciones de correo electrónico (que lucha contra los bots que recopilan direcciones de email de las webs para a posteriori lanzar spam), el servicio de exclusión de información SSE (que permite ocultar parte de la información de nuestra web a visitantes sospechosos) y por último el servicio de reescritura HTTPS (que se dedica a reescribir links HTTP a HTTPS siempre que esto esté disponible en destino).

La vulnerabilidad se solucionó en pocas horas, lo cual es un gran tiempo de respuesta si lo comparamos con otras vulnerabilidades publicadas, sin irnos más lejos por el propio Project Zero, en relación a otras compañías y que son solucionadas al cabo de semanas o meses.

Cloudfare insiste en que durante el periodo más crítico de la vulnerabilidad, del día 13 al 18 de Febrero solo un 0.00003% de las peticiones HTTP a través de sus servicios podían haber causado este escape de datos pero aún así esto son 3,3 millones de peticiones... Actualmente se sigue trabajando en recopilar un listado de los sitios webs afectados por este fallo de seguridad. Podéis comprobar si vuestras webs favoritas aparecen entre las afectadas en el siguiente link (cloudbleed list checker). Algunas de las más importantes y que ya han sido confirmadas son coinbase.com, uber.com, bitpay.com, 4chan.org, account.leagueoflegends.com, myaccount.nytimes.com, glassdoor.com..

Esta vulnerabilidad me ha podido afectar?

Si, tu información ha podido ser distribuida. Si utilizas cualquier web que a su vez haga uso del servicio proxy de Cloudfare, tus contraseñas, cookies, etc... han podido ser expuestas, además de haber podido ser cacheadas por cualquier buscador web. Google ha trabajado también intensamente para eliminar de su cache cualquier traza de estas respuestas HTTP, pero es posible que no haya podido eliminar automáticamente todas como que obviamente estas sigan apareciendo en cache en cualquier otro buscador.

Si has utilizado (aunque sea de manera indirecta a través de otra web) los servicios proxy de Cloudfare, almenos durante el periodo que va desde el pasado 22 de Septiembre 2016 hasta el 18 de Febrero 2017 deberías actuar pensando que tu información ha sido distribuida. Aclarar en este punto que datos tan sensibles como las claves privadas de SSL no han sido distribuidas ya que en Cloudfare son tratadas por servidores NGINX aislados y que no se han visto afectados por este problema.

Que debo hacer?

  • Cambiar contraseñas
  • Hacer log out y volver a entrar en nuestras cuentas para desactivar posibles sesiones abiertas.
  • Eliminar nuestras cookies y cache del navegador
  • Utilizar siempre que sea posible el doble factor de autenticación
  • En caso de ser administrador de una web que utilice Cloudfare, lo cual se puede comprobar en el siguiente link (Cloudfare), forzar un cambio de contraseña, OAuth tokens, claves API... a los usuarios.

Fuentes Cloudfare ,Google ,Github