Un error en el código fuente de un componente Cloudflare ha expuesto la información personal de los usuarios que visitan los sitios protegidos por el servicio de Cloudflare, junto con los detalles potencialmente más sensibles, como las cookies, contraseñas, tokens de autenticación, claves de la API.
De acuerdo con la compañía el fallo fue causado por un error en el código fuente del componente Cloudflare HTML Analizador, un módulo de la empresa utiliza para leer el código fuente de un sitio web y, a continuación, pasar por encima de otros módulos que reescriben su contenido, basado en la configuración de la cuenta de usuario.
El error tipográfico que causó este problema era que alguien utilizó "> =" en lugar de "==". Esto llevó a una situación en la que el analizador HTML causó un desbordamiento de búfer, que luego vertió el contenido de la memoria del servidor Cloudflare en las peticiones HTTP del cliente.
Según la investigación Cloudflare, el tema apareció sólo cuando los clientes habilitan dos ajustes en su cuenta de correo electrónico llamado ofuscación y automáticas HTTPS reescrituras.
Una investigación posterior reveló el error tipográfico se introdujo en el componente HTML Analizador el 22 de septiembre de 2016. Cloudflare resuelva el problema el 18 de febrero de 2017, cuando un ingeniero de Google reportó el problema.
"El período de mayor impacto fue del 13 de febrero y 18 de febrero, con alrededor de 1 de cada 3.300.000 peticiones HTTP a través de Cloudflare potencialmente resultando en pérdida de memoria (que es aproximadamente 0,00003% de las solicitudes)," segun Cloudflare Graham-Cumming.
El error salió a la luz el 18 de febrero cuando Google Project Zero investigador Tavis Ormandy se dio cuenta de la salida de datos irregulares en las operaciones de procesamiento de datos mundanas.
Una investigación posterior de estos datos reveló que ciertos sitios, que más tarde se identificó como protegidas por el sistema de proxy inverso de Cloudflare, fueron incluidas más información de lo habitual en sus peticiones HTTP.
Según el investigador, él se acercó a CloudFlare a través de Twitter e inmediatamente canceló sus planes de fin de semana, debido a la gravedad del error.
Cloudflare comenzo a trabajar en la cuestión minutos después de recibir los detalles de Ormandy, y 47 minutos más tarde tuvo discapacitados Correo ofuscación para todos los clientes, y más tarde la función automática HTTPS reescrituras.
Seis horas después, la empresa identificó el error tipográfico y se acercó a los buscadores más importantes, ya que algunos de los datos filtrados se habían almacenado en caché en los resultados de búsqueda.
"Estoy encontrando mensajes privados de los principales sitios de citas, mensajes completos de un servicio de chat muy conocido, datos administrador de contraseñas en línea, marcos de adultos sitios de vídeo, reservas de hotel," Ormandy escribió acerca de sólo una fracción de los datos que estaba encontrando a través Cloudflare la fuga. "Estamos hablando de solicitudes completos https, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves, datos, todo."
El impacto del error es notable porque Cloudflare es uno de los mayores sistemas de cortafuegos web y proxy en el mercado.
Ormandy, Cloudflare, y muchos investigadores de seguridad dudan de que alguien explota el bug de Cloudflare.
"No sé si este asunto se dio cuenta y aprovechada, pero estoy seguro de que otros rastreadores han recogido datos y que los usuarios han guardado o contenido almacenado en caché y no darse cuenta de lo que tienen", dijo Ormandy.
Mientras Cloudflare ha tratado de minimizar el impacto de la cuestión, Ormandy no está de acuerdo con la postura de la compañía.
