Un programador español descubre un grave fallo que deja desprotegidas a millones de empresas

22/10/2018
Publicat a: El Confidencial

Al menos 10 millones de sitios web de particulares y empresas han sido puestos fuera de peligro gracias a un desarrollador informático español. Daniel Fariña descubrió (https://opendatasecurity.io/es/vulnerabilidad-cloudflare-permite-inutilizar-WAF) que los escudos cortafuegos web de servicios en la nube tan gigantescos como Cloudflare o Cloudbric tenían un error de configuración que dejaban seriamente desprotegidos a sus clientes. Cloudflare ya lo ha solucionado.

Un cortafuegos es como un antivirus: analiza el tráfico que le llega de Internet y bloquea lo que considera peligroso.

El cortafuegos de aplicaciones web protege a una empresa de la multiplicidad de ataques que pueden sufrir sus servidores web, por ejemplo y en el caso de tener una tienda online, del robo de las tarjetas de crédito de sus clientes y otras bases de datos de información sensible. También permite bloquear quién puede o no ver una web, protege contra los bombardeos cibernéticos y contra ataques a la reputación, como la publicación de páginas falsas con "fake news" en el servidor web corporativo.

Entre los clientes de Cloudflare que usan la protección de su cortafuegos de aplicaciones web destacan el proveedor de hosting Digital Ocean, el conocido sitio de citas OkCupid, la comunidad de juegos y chats Discord, la corporacíon Cisco o la Biblioteca del Congreso de Estados Unidos.

El ataque que ha descubierto Fariña afecta concretamente al cortafuegos de las aplicaciones web y es bastante fácil de realizar: solo hay que mandarle órdenes que contengan más de 100 parámetros. A partir de 100, el cortafuegos no analiza lo que se le llega y, si son instrucciones maliciosas, ni las ve ni las bloquea. Las deja pasar.

Daniel Fariña (https://www.linkedin.com/in/daniel-fari%C3%B1a-4307a8a9/), responsable del Equipo de Desarrollo de la empresa canaria Open Data Security (https://opendatasecurity.io), lo descubrió el pasado 19 de septiembre, mientras estaba poniendo en marcha un cortafuegos para su empresa. "Durante las pruebas que hicimos, se detectó que las solicitudes que incluían muchos parámetros no eran bloqueadas correctamente por el cortafuegos", explica el desarrollador.

Fariña descubrió además que el fallo no era en realidad un fallo, sino "una característica del módulo del cortafuegos, que es bastante usado". Este módulo comunica el cortafuegos con el servidor web al que proteje. "Por cuestiones de rendimiento, los desarrolladores del módulo afectado decidieron que actuara de esta manera, procesando solamente los primeros parámetros y obviando el resto", explican desde Open Data Security.

El paso siguiente fue mirar si otras empresas y proyectos que usan esta tecnología, tanto de código libre como propietario, tenían el mismo fallo, y descubrieron que sí, que "aunque el fallo era conocido, lo que no era conocido era que sitios como CloudFlare y CloudBric no eran conscientes de esta característica y que su cortafuegos se podía traspasar", explican.

Los cortafuegos de aplicaciones web son la tecnología más usada a nivel mundial para proteger sitios web, siendo su principal usuaria Cloudflare (https://www.cloudflare.com/es-es/waf/), que protege con esta tecnología, según informan desde esta corporación, "10 millones de dominios, sitios web, APIs, aplicaciones móviles y otros servicios Internet, algunos gratuitos y otros de pago".

El peligro para las empresas que están bajo el escudo de los cortafuegos de Cloudflare o Cloudbric era doble porque, al creer que ya se está protegido, no se preocupan en solucionar los fallos que puedan tener sus máquinas, de forma que si alguien consigue traspasar el cortafuegos se encontrará con los ordenadores corporativos vulnerables.

Open Data Security avisó de inmediato a Cloudflare y Cloudbric, pero solo Cloudflare hizo caso de inmediato y reconfiguró su cortafuegos. En el caso de Cloudbric, que no ha respondido a los intentos de contacto por parte de Open Data Security, el ataque no es tan fácil pues, según afirma la empresa canaria, "es necesario cambiar el valor de algún parámetro en cada solicitud para explotar esta vulnerabilidad".

Open Data Security ha preparado diversos vídeos ( https://www.youtube.com/watch?v=JUvro7cqidY) para demostrar el problema y cómo arreglarlo: "Al descubrir que el cortafuegos era vulnerable a los ataques descritos, decidimos indagar un poco más y encontrar la causa del error", explican. La solución fue reconfigurar el cortafuegos, poniéndole nuevos límites.



Mercè Molist