Te levantas por la mañana y te encuentras un post de Cloudflare diciendo que han tenido un fallo de seguridad de proporciones épicas, que ya esta corregido, pero que hay que tomar medidas de seguridad. Así ha empezado hoy nuestro día. Si tienes dada de alta tu pagina web o instalación de WordPress con Cloudflare, ya te digo que te interesa leer este post al completo.
Cloudflare CloudBleed: una brecha de seguridad espectacular. Cómo proteger tu WordPress o página web
Qué ha pasado en Cloudflare
Cloudflare ha experimentado un fallo de seguridad que lleva arrastrando desde hace 5 meses pero que se ha intensificado las últimas semanas y que ha sido descubierto por Tavis Ormandy.
¿Qué hace Cloudflare? Cloudflare proporciona un cortafuegos y un servicio de CDN. Sus servidores se encuentran entre tu sitio web y tu propio servidor web. Cloudflare devuelve los datos que cada visitante del sitio ha solicitado a ese visitante. Por lo general este proceso se realiza a través de un canal seguro.
Desde el 22 de septiembre de 2016 hasta el 18 de febrero de 2017, los servidores de Cloudflare mezclaban datos que pertenecían a un visitante de un sitio web, con datos pertenecientes a otros que visitaban un sitio web completamente diferente. La peor fuga de datos se produjo entre el 13 de febrero y el 18 de febrero de 2017, cuando se filtró una de cada 3,3 millones de solicitudes a los servidores de Cloudflare. Espectacular.
Este error en los sistemas de Cloudflare se ha descrito como una “fuga de datos”. No está claro si se considera una “brecha de seguridad”. Veremos.
Cómo os podéis imaginar, después de que Cloudflare haya echo publica su solución (ya ha corregido el fallo), todo internet se ha vuelto loco pensando en que va a pasar ahora, porque el problema es que los buscadores han guardado esa información sensible en su caches, y aunque Google y otros ya han borrado parte, seguro que en algún lugar alguien tiene la información suficiente para entrar en tu WordPress sin tu consentimiento.
Parece que el problema se ha centrado en tres características menores de Cloudflare (email obfuscation, Server-side Excludes y Automatic HTTPS Rewrites), pero eso no quiere decir que si no las usas estes libre de pecado. Mejor tomar medidas de seguridad.
¿Sitios afectados? Todos los que usen Cloudflare deberían tomar medidas de seguridad, pero parece que hay un listado de los principales afectados: github.com/pirate/sites-using-cloudflare. Cloudflare comenta en blog que se han puesto en contacto via e-mail con los principales afectados y que van a mandar un e-mail a todos sus usuarios en breve.
Qué información se ha filtrado
Pues contraseñas y logins, cookies y tokens de autenticación… vamos, todo lo necesario para hackear WordPress. Si un atacante puede acceder al texto de tus cookies, es posible que pueda utilizarlas para iniciar sesión en tu sitio web. Todavía se pueden ver resultados en Google:
¿Qué puedes hacer para proteger tu sitio web con WordPress si tienes instalado Cloudflare?
1.-Lo primero que deberías hacer es cambiar tu password de acceso a WordPress en el panel de administración. Esto también sirve para otras páginas web que estén dadas de alta en Cloudflare y no usen WordPress.
2.-Lo segundo es cambiar las Authentication Unique Keys & Salt que se encuentran en wp-config.php en el directorio raíz de tu instalación. Ya sabes que puedes generar unas nuevas usando https://api.wordpress.org/secret-key/1.1/salt/.
Esto provocara que todos tus usuarios tengan que hacer logout de tu WordPress y evitara que te roben la información de las cookies de WordPress. Si usas otro CMS, asegúrate de invalidar todas las sesiones de tu sistema.
Email que han mandado desde Cloudflare a sus clientes
Thursday afternoon, we published a blog post describing a memory leak caused by a serious bug that impacted Cloudflare‘s systems. If you haven’t yet, I encourage you to read that post on the bug:
https://blog.cloudflare.com/
While we resolved the bug within hours of it being reported to us, there was an ongoing risk that some of our customers’ sensitive information would still be available through third party caches, such as the Google search cache.
Over the last week, we’ve worked with these caches to discover what customers may have had sensitive information exposed and ensure that the caches are purged. We waited to disclose the bug publicly until after these caches could be cleared in order to mitigate the ability of malicious individuals to exploit any exposed data.
In our review of these third party caches, we discovered exposed data on approximately 150 of Cloudflare‘s customers across our Free, Pro, Business, and Enterprise plans. We have reached out to these customers directly to provide them with a copy of the data that was exposed, help them understand its impact, and help them mitigate that impact.
Your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your domains during this search, we will reach out to you directly and provide you full details of what we have found.
To date, we have yet to find any instance of the bug being exploited, but we recommend if you are concerned that you invalidate and reissue any persistent secrets, such as long lived session identifiers, tokens or keys. Due to the nature of the bug, customer SSL keys were not exposed and do not need to be rotated.
Again, if we discover new information that impacts you, we will reach out to you directly. In the meantime, if you have any questions or concerns, please don’t hesitate to reach out.
Matthew Prince
Cloudflare, Inc.
Co-founder and CEO