Luca Annunziata

Google trova un buco nella CDN di Cloudflare

I dati hanno viaggiato in chiaro per qualche giorno. Tutta colpa di un bug in una vecchia versione del software. Il Project Zero colpisce ancora

Milano - Per qualche giorno i dati in transito dentro la CDN di Cloudflare, il Content Delivery Network che mette al sicuro i dati all'interno del suo perimetro, sono stati esposti ad occhi indiscreti: l'ha scoperto Tavis Ormandy di Google Project Zero, ha avvisato l'azienda e quest'ultima ha provveduto a chiudere la falla. Per fortuna di Cloudflare, e dei suoi clienti, nessuno pare si sia accorto della questione prima della divulgazione pubblica. Ma sarebbe potuto essere un problema molto serio, vista la natura dei dati che circolano su quel network: qualcuno si è persino azzardato a dare un nome all'incidente, scegliendo il suggestivo CloudBleed.

Il ruolo svolto da Cloudflare è duplice: i suoi edge-server tengono i contenuti vicini ai navigatori, e fanno circolare i dati sensibili all'interno di una rete privata virtuale che tiene offuscati i contenuti durante il transito. Cookie, password, intere pagine passano attraverso quella CDN: Ormandy si è accorto che, a causa di un bug, se al parser si forniva un HTML difettoso che restituiva un valore negativo si minava l'offuscamento dei dati. Ormandy ha verificato che era possibile ottenere in chiaro dati decisamente sensibili: a quel punto si è fermato e ha informato Cloudflare per consentire di sistemare il bug.

Nel corso dello scorso weekend, lo stesso Ormandy ha collaborato attivamente con Cloudflare per risolvere il problema, e la stessa azienda ha iniziato a indagare sulle cause: ciò che è emerso è che si trattava di un bug residente in un codice in via di dismissione da parte di Cloudflare, e la questione è emersa proprio nel corso di una migrazione dal vecchio al nuovo software sui suoi server. L'intervento dovrebbe essere stato risolutivo: la cache sugli edge server è stata ripulita e i dati sensibili dovrebbero essere stati eliminati del tutto, anche grazie all'ausilio dei principali motori di ricerca (Google compresa) che hanno contribuito identificando eventuali dati sensibili sfuggiti.
Questo lavoro suppletivo ha richiesto qualche ora in più, superando il limite di 7 giorni che Project Zero impone tra la segnalazione agli interessati e la divulgazione della scoperta. Cloudflare ha comunque chiarito che in nessuna circostanza, per quanto è stato possibile verificare, i dati in questione sono stati a disposizione dei malintenzionati: la finestra durante la quale il problema è occorso dovrebbe essere stata compresa tra il 13 e il 18 febbraio scorsi. In totale sono 3,3 milioni le richieste HTTP che hanno restituito dati sensibili non correttamente offuscati, che secondo le stime di Cloudflare equivalgono allo 0,00003 per cento del totale gestito in quel periodo.

Sul network Cloudflare circolano i dati di molte aziende popolari: Uber, Fitbit, OK Cupid, 1Password e molte altre. Dalle prime verifiche parrebbe che non ci siano state fughe di dati pericolose: chi fosse scettico potrebbe comunque optare per un cambio di password generale, così da mettersi al sicuro a scanso equivoci.

Luca Annunziata
Notizie collegate
  • SicurezzaCloudFlare propone connessioni SSL per tuttiLa società annuncia un nuovo servizio di connessioni sicure "universale". Disponibile anche gratuitamente. Un contributo per migliorare sensibilmente la sicurezza degli utenti su Internet
  • SicurezzaSHA-1, si avvicina la fineGoogle si unisce alle aziende che hanno dichiarato di voler anticipare la dismissione dell'algoritmo crittografico di NSA, mentre altri frenano: decine di milioni di utenti con browser non aggiornati si troveranno disconnessi
  • TecnologiaCloudFlare, il Web finisce offlineUn operatore CDN finisce offline e trascina con sé centinaia di migliaia di siti web. La causa del disservizio? Una regola fornita ai router contro un attacco DDoS propagatasi nel peggiore dei modi
  • Diritto & InternetUSA, la pirateria non è affar di CloudFlareIl servizio di CDN si trova costretto a fare i conti con le iniziative dell'industria musicale, supportate dalle ingiunzioni dei tribunali. CloudFlare chiede più garanzie per il proprio ruolo di neutro intermediario
  • AttualitàTor, rete malevola per definizione?CloudFlare accusa: Tor è una darknet usata nella quasi totalità dei casi da bot, malware e criminali. Tor replica: l'azienda fornisca la metodologia con cui ha elaborato i dati
5 Commenti alla Notizia Google trova un buco nella CDN di Cloudflare
Ordina