Un programador español descubre un fallo que dejó desprotegidas a miles de empresas

SEGURIDAD EN SEVILLA
16 Jun, 2019

Al menos 10 millones de sitios web de particulares y empresas han sido puestos a salvo de una grave crisis de ciberseguridad gracias a un desarrollador informático español. Daniel Fariña descubrió que los escudos cortafuegos web de servicios en la nube tan gigantescos como Cloudflare (usado por miles de 'startups' y empresas de todo tipo de sectores a nivel mundial) o Cloudbric tenían un error de configuración que dejaban desprotegidos a sus clientes. Cloudflare ya lo ha solucionado pero Cloudbric aún no ha movido ficha.

Un cortafuegos es como un antivirus: analiza el tráfico que le llega de Internet y bloquea lo que considera peligroso. El ataque que ha descubierto Fariña, y a cuya publicación y detalles técnicos ha tenido acceso Teknautas en exclusiva, afecta concretamente al cortafuegos de las aplicaciones web y es bastante fácil de realizar: solo hay que mandarle órdenes que contengan más de 100 parámetros. A partir de 100, el cortafuegos no analiza lo que le llega y, si son instrucciones maliciosas, ni las ve ni las bloquea. Las deja pasar.

El cortafuegos de aplicaciones web protege a una empresa de la multitud de ataques que pueden sufrir sus servidores web. Por ejemplo y en el caso de tener una tienda online, del robo de las tarjetas de crédito de sus clientes y otras bases de datos de información sensible. También permite bloquear quién puede o no ver una web, protege contra los bombardeos cibernéticos y contra ataques a la reputación, como la publicación de páginas falsas con 'fake news' en el servidor web corporativo. Entre los clientes de Cloudflare que usan la protección de su cortafuegos de aplicaciones web destacan el proveedor de hosting Digital Ocean, el conocido sitio de citas OkCupid, la comunidad de juegos y chats Discord, la corporacíon Cisco o la Biblioteca del Congreso de Estados Unidos.

Daniel Fariña, responsable del equipo de desarrollo de la empresa canaria Open Data Security, lo descubrió el pasado 19 de septiembre, mientras estaba poniendo en marcha un cortafuegos para su empresa. "Durante las pruebas que hicimos, se detectó que las solicitudes que incluían muchos parámetros no eran bloqueadas correctamente por el cortafuegos", explica el desarrollador.

Fariña descubrió además que el fallo no era en realidad un fallo, sino "una característica del módulo del cortafuegos, que es bastante usado". Este módulo comunica el cortafuegos con el servidor web al que proteje. "Por cuestiones de rendimiento, los desarrolladores del módulo afectado decidieron que actuara de esta manera, procesando solamente los primeros parámetros y obviando el resto", explican desde Open Data Security.

El paso siguiente fue mirar si otras empresas y proyectos que usan esta tecnología, tanto de código libre como propietario, tenían el mismo fallo, y descubrieron que sí, que "aunque el fallo era conocido, lo que no era conocido era que sitios como CloudFlare y CloudBric no eran conscientes de esta característica y que su cortafuegos se podía traspasar", explican.

Los cortafuegos de aplicaciones web son la tecnología más usada a nivel mundial para proteger sitios web, siendo su principal usuaria Cloudflare, que protege con esta tecnología, según informan desde esta corporación, "10 millones de dominios, sitios web, APIs, aplicaciones móviles y otros servicios de Internet, algunos gratuitos y otros de pago".

El peligro para las empresas que están bajo el escudo de los cortafuegos de Cloudflare o Cloudbric era doble porque, al creer que ya se está protegido, no se preocupan en solucionar los fallos que puedan tener sus máquinas, de forma que si alguien consigue traspasar el cortafuegos se encontrará con los ordenadores corporativos vulnerables.

Open Data Security avisó de inmediato a Cloudflare y Cloudbric, pero solo Cloudflare hizo caso de inmediato y reconfiguró su cortafuegos. En el caso de Cloudbric, que no ha respondido a los intentos de contacto por parte de Open Data Security, el ataque no es tan fácil pues, según afirma la empresa canaria, "es necesario cambiar el valor de algún parámetro en cada solicitud para explotar esta vulnerabilidad".

Open Data Security ha preparado diversos vídeos para demostrar el problema y cómo arreglarlo: "Al descubrir que el cortafuegos era vulnerable a los ataques descritos, decidimos indagar un poco más y encontrar la causa del error", explican. La solución fue reconfigurar el cortafuegos, poniéndole nuevos límites.

Empresas de Seguridad.

Seguridad en Sevilla.

www.lendiser.es

www.seguridadensevilla.com