Il ricercatore di sicurezza Tavis Ormandy di Project Zero, un gruppo di lavoro di Google focalizzato sulla ricerca di vulnerabilità “Zero Days”), ha identificato un bug molto serio in alcune procedure del servizio di reverse proxy e CDN CloudFlare, usato per creare cache locali di pagine web e velocizzarne la fruizione da parte degli utenti. Ormandy ne ha dato notizia sul bug-tracker di Chromium.

In presenza di alcune pagine html non correttamente formattate, per esempio in cui i tag html non vengono “chiusi” correttamente, la CDN poteva inserire nei dati trasmessi anche porzioni di memoria che non avrebbero dovuto essere rivelate, come per esempio parti di moduli trasmessi con http-post (compresi username e password), token di autenticazione o cookie.

Visto che le macchine che compongono la CDN gestiscono la connessione di più utenti (i siti abbonati al servizio CloudFlare), una pagina di un sito in grado di attivare la vulnerabilità poteva portare a rivelare informazioni sensibili su utenti di decine o centinaia di siti differenti.

Tra le informazioni che Ormandy ha trovato all’interno delle pagine corrotte vi sono messaggi personali di siti di dating, messaggi di chat, prenotazioni di alberghi, frame da siti per adulti e – cosa forse più grave di tutte – dati di gestori di password online. I dati comprendono richieste https complete, indirizzi IP del clienti, cookie, password, chiavi di cifratura…

Ormandy ha contattato CloudFlare per rivelare tutte le informazioni in sui possesso sul bug, e l’azienda ha lavorato alacremente per identificare ed eliminare l’origine del problema, e poi per cancellare dalle cache dei principali motori di ricerca le pagine archiviate che avrebbero potuto contenere informazioni sensibili. Tutto questo, nel giro di una settimana circa.

Dopo la messa in sicurezza, come sua consuetudine, CloudFlare ha prodotto un report molto dettagliato sull’incidente, spiegando non solo le azioni intraprese per il contenimento e la messa in sicurezza, ma anche quali servizi e porzioni di codice hanno dato origine alla vulnerabilità.

Secondo Ormandy, però, CloudFlare ha minimizzato l’impatto che il problema può avere avuto sui propri clienti.