Un grave problema di sicurezza (con un possibile pesante data leak, immediatamente battezzato CloudBleed) è passato, nel fine settimana, quasi sotto silenzio. Eppure le proporzioni della falla sono davvero notevoli se si pensa che sono stati coinvolti essenzialmente siti web di primaria importanza che si appoggiano ai servizi forniti dal provider statunitense Cloudflare.
L’azienda si occupa infatti di offrire CDN (Content Delivery Network) ai clienti (oltre a servizi DNS distribuiti) e i suoi strumenti sono largamente utilizzati da società del calibro di Uber, FitBit e 1Password oltre che da numerose realtà italiane.
Come ha confermato Cloudflare, in alcune circostanze, un aggressore remoto poteva essere in grado di leggere informazioni e dati sensibili restituiti dai server edge dell’azienda.
In particolare, un malintenzionato sarebbe stato capace di leggere porzioni di memoria contenenti informazioni private come cookie http, token di autenticazione, informazioni trasmesse durante le richieste POST (invio di moduli online) e altro ancora.
Fortunatamente, le chiavi private di Cloudflare, usate per proteggere lo scambio dei dati tra client e server non sono state mai esposte.
Autore della scoperta è, ancora una volta, l’ingegnere Google Tavis Ormandy che in un post consultabile a questo indirizzo ha spiegato la natura della falla di sicurezza.
Ormandy si è ovviamente ben guardato dal fornire i dettagli tecnici per evitare che chiunque possa riprodurre la situazione rilevata durante i test e sottrarre dati altrui per sferrare attacchi mirati.
Il ricercatore ha spiegato di aver segnalato il problema a Cloudflare (che nel frattempo lo ha tempestivamente risolto) dando 90 giorni di tempo prima della pubblicazione dei dettagli.
Stando alle prime valutazioni, la falla sarebbe rimasta in auge per ben cinque mesi: dal 22 settembre 2016 al 18 febbraio 2017: quei siti che si appoggiano a Cloudflare dovrebbero quindi, sulla base dell’attuale legislazione, informare gli utenti sull’accaduto (dipeso dall’opera di terzi) quindi:
1) Valutare da quanto tempo si potrebbe essere stati affetti dal bug di Cloudflare.
2) Forzare la scadenza di tutti i token di login degli utenti per il periodo indicato in precedenza.
3) Avviare un cambio di password per tutti gli utenti che si sono registrati o che hanno effettuato un accesso nello stesso periodo.
Ormandy ha spiegato che caricando su Cloudflare una particolare pagina HTML riempita di tag “ad hoc”, il proxy della società USA iniziava a redistribuire tale oggetto inframezzandolo con una combinazione di contenuti conservati in memoria.
Così, Ormandy e il suo team hanno potuto osservare ed estrarre agevolmente chiavi crittografiche, cookie, password, spezzoni di dati inviati in POST e addirittura richieste HTTPS gestite da Cloudflare per decine di altri siti ospitati sul network.
Cosa devono fare gli utenti normali?
Lato utenti, attenzione agli account che si sono registrati su un qualunque sito che elabora il traffico appoggiandosi all’infrastruttura di Cloudflare. E considerato che sono oltre 6 milioni i clienti di Cloudflare, le probabilità che ciò sia accaduto sono molte.
Per verificare quali siti web si appoggiano a Cloudflare e valutare il cambio delle proprie password, suggeriamo di installare e utilizzare una delle seguenti due estensioni, a seconda che si impieghi Chrome o Firefox come browser web:
– Estensione Cloudbleed per Google Chrome
– Estensione Cloudbleed per Mozilla Firefox
L’estensione, una volta installata, si fa carico di esaminare il contenuto della cronologia del browser e provvede a controllare l’utilizzo dell’infrastruttura Cloudflare da parte di ciascun sito visitato in precedenza.