Cloudflare e “Cloudbleed”: accertamenti in corso

Emergono nuovi dettagli sulla falla "Cloudbleed" che ha colpito "silenziosamente" il network Cloudflare negli ultimi cinque mesi.

Cloudflare

Il logo Cloudflare

Cloudflare è un noto brand associato a soluzioni di sicurezza online e CDN (Content Delivery Network). Nelle ultime settimana l’azienda è finita tuttavia sotto i riflettori dei siti specializzati per via di una falla (ora patchata) che avrebbe causato il “leak random” di dati sensibili (teoricamente password, cookie, token di autenticazione etc.) sui portali di numerosi clienti. La lista delle aziende che si appoggiano a CloudFlare è lunga: il provider statunitense offre servizi ad oltre 5 milioni di siti internet – ecco spiegata l’apprensione della Rete a seguito dell’annuncio ufficiale diffuso il 23/2.

In base a quanto scoperto dal team di ricercatori di sicurezza Google (Project Zero), la falla sarebbe stata introdotta nell’ecosistema CloudFlare il 22 Settembre 2016, a seguito di una non corretta implementazione di alcune funzionalità (Automatic HTTPS Rewrites, email obfuscation, email obfuscation) con un nuovo parser HTML – pensato per incrementare le prestazioni generali. Gli analisti di Mountain View hanno pensato inizialmente che si trattasse di un bug interno, quindi della stessa Google, ma sono risaliti rapidamente a Cloudflare. Per via della fuga casuale di dati sensibili, il team ha deciso di soprannominare il bug Cloudbleed, un “omaggio” all’altrettanto noto Heartbleed – del quale molti sembrano essersi dimenticati.

Indagini in corso su Cloudbleed

Nonostante gli accertamenti siano ancora in corso, si hanno già alcuni dettagli sulla portata della “fuga di dati sensibili”. Innanzitutto il leak è avvenuto in due fasi ben distinte: la prima è collacabile tra il 22/9/2016 a Febbraio 2017 ed ha coinvolto circa 180 siti. La seconda va invece da inizio Febbraio 2017 fino al 22 dello stesso mese, giorno in cui gli analisti Google hanno notificato il problema a Cloudflare. Per quanto riguarda il numero di siti coinvolti, la quota sale a 6547 per via del rollout del parser HTML su più ampia scala.

Come dichiarato invece dalla stessa Cloudflare, la perdità più consistente di dati è avvenuta tra il 13 ed il 18 Febbraio 2017, periodo nel quale il bug si sarebbe manifestato ogni 3 milioni circa di chiamate HTTP indirizzate ai siti Cloudflare. Eventuali malintenzionati avrebbero potuto carpire le informazioni in tempo reale o tramite la cache dei principali motori di ricerca (Google, Bing, Baidu etc.). E proprio questi ultimi hanno aiutato il provider a cancellare oltre 80.000 pagine in cache limitando i danni causati da Cloudbleed.

Trattandosi di perdite casuali di informazioni, è tuttavia difficile stabilire quanti byte siano effettivamente fuoriusciti. Cloudflare afferma che non vi sono ancora elementi che confermino l’utilizzo della falla da parte di malintenzionati ma occorreranno ulteriori indagini. Un hacker avrebbe potuto inviare si un elevato numero di richieste ad un portale ma,data la natura randomica del bug, sarebbe stato impossibile averne il controllo.

“Data la vastità del network Cloudflare, l’impatto è stato potenzialmente enorme. Sappiamo di avervi deluso e chiediamo scusa. Continueremo a condividere dettagli [sull’accaduto]” ha scritto il CEO Matthew Prince in un recente post di aggiornamento.

Nelle 1,242,071 attivazioni del bug ipotizzate tra Settembre 2016 e Febbraio 2017, rassicura tuttavia il CEO, non sarebbero state interessate password – che si consiglia in ogni caso di cambiare prontamente.

Fonti 1, 2, 3

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *