A Cloudflare fornece um serviço de CDN, em que se encarrega de fazer chegar os conteúdos da forma mais eficiente os visitantes dos sites, e que incluem pacotes de scripts JS usados com frequência. A vulnerabilidade descoberta permitia interferir com esse processo, enganando a Cloudflare de modo a que disponibilizasse um script malicioso em vez do script original - e que de forma automática iria chegar a todos os sites que usem Cloudflare e que pedissem o respectivo script (sendo bastante fácil criar versões maliciosas de uma dezena, ou mais, dos scripts mais populares, garantindo que a infecção se espalharia por todo o lado).
É uma técnica que se pode dizer que é relativamente idêntica à do ataque de ransomware da Kaseya, em que a infecção num serviço permitiu espalhar o ransomware pelas milhares de empresas que o utilizavam. Mas, com a pequena grande diferença de que, ao contrário da Kaseya que ignorou os alertas para falhas de segurança ao longo de anos, neste caso a Cloudflare reagiu de forma imediata após ter sido contactada a propósito desta falha, tendo implementando uma medida provisória de protecção num prazo de 24 horas, e efectuando as alterações necessárias ao longo das semanas seguintes (o caso foi-lhe comunicado em Abril).
Por um lado é bom ver que existem empresas capazes de reagir "imediatamente" a relatos de vulnerabilidades críticas; por outro lado, é assustador imaginar o que poderia acontecer se, em vez de um investigador responsável, a vulnerabilidade tivesse sido descoberta por alguém que se limitasse a vender essa falha a quem pagasse mais por ela, deixando centenas de milhões de pessoas em risco.
A internet a caminhar rapidamente para um autêntico "faroeste", onde há cada vez mais "bandidos" atrás do "ouro fácil".
ResponderEliminar