En el vasto y complejo ecosistema de la infraestructura de red, incluso los componentes más arraigados pueden albergar vulnerabilidades latentes durante décadas. Tal es el caso de Squidbleed (CVE-2026-47729), una falla de seguridad recientemente revelada en el popular proxy web Squid, que expone información sensible de usuarios en entornos compartidos. Esta vulnerabilidad, catalogada por los investigadores de Calif.io, se ha convertido en un punto focal para administradores de sistemas, ingenieros DevOps y especialistas en ciberseguridad que dependen de Squid para sus operaciones diarias. Su impacto potencial en la confidencialidad de datos es significativo, especialmente en redes donde la confianza implícita entre usuarios es una realidad.
¿Qué es Squidbleed (CVE-2026-47729)?
Squidbleed es el nombre dado a una vulnerabilidad de sobrelectura de la pila (stack over-read) en el proxy web Squid que permite a un atacante, que ya tiene permisos para usar el proxy, filtrar solicitudes HTTP en texto plano de otros usuarios que comparten el mismo servicio. Esto incluye la exposición de credenciales de inicio de sesión, tokens de sesión y cualquier otra información sensible transmitida vía HTTP. El fallo se remonta a un cambio en el analizador FTP de Squid implementado en 1997 y ha persistido en las configuraciones predeterminadas hasta su descubrimiento en junio de 2024.
La analogía con el infame Heartbleed es intencionada; al igual que aquella vulnerabilidad, Squidbleed permite la filtración de memoria, aunque en un contexto diferente y con un alcance más específico.
El Alcance y las Condiciones de Explotación
Es crucial entender el contexto de explotación de Squidbleed. No se trata de un ataque de día cero accesible a cualquier host aleatorio en Internet. Squidbleed es un ataque de «cliente de confianza», lo que significa que el atacante debe ser un usuario legítimo del mismo proxy. Esto lo hace particularmente relevante en entornos de red compartida como:
- Redes corporativas y oficinas.
- Instituciones educativas.
- Puntos de acceso Wi-Fi públicos.
En estos escenarios, un usuario malintencionado podría interceptar y extraer información de autenticación de sus compañeros o de otros usuarios de la red.
Además, la filtración se limita al tráfico que Squid puede leer e inspeccionar:
- Solicitudes HTTP en texto plano.
- Configuraciones con terminación TLS donde Squid realiza la descifrado e inspección del tráfico (man-in-the-middle).
El tráfico HTTPS estándar, que utiliza un túnel CONNECT opaco a través de Squid, no se ve afectado directamente, ya que el proxy no descifra su contenido.
Para que la explotación sea posible, el atacante también necesita que el proxy pueda acceder a un servidor FTP que él mismo controla, utilizando el puerto 21. Cabe destacar que tanto el protocolo FTP como el puerto 21 están activados por defecto en muchas instalaciones de Squid, lo que simplifica la ventana de ataque.
Mecanismo de Explotación y Mitigación
La raíz de la vulnerabilidad reside en el analizador de listados de directorios FTP de Squid. Los investigadores de Calif.io demostraron cómo explotar esta falla para extraer cabeceras de autorización de una víctima que comparte el mismo proxy, información suficiente para suplantar su identidad. Aunque el código de prueba de concepto (PoC) es público, hasta la fecha de este artículo no se han reportado explotaciones activas en la práctica.
Acciones de Mitigación Urgentes para Administradores y DevOps
Como profesionales de la seguridad y operaciones, la mitigación proactiva es imperativa:
1. Desactivar el Soporte FTP en Squid (Recomendación Principal)
Esta es la solución más eficaz y recomendada por los propios investigadores. Dada la obsolescencia de FTP y su escaso uso en la mayoría de las redes modernas (Chromium, por ejemplo, lo eliminó hace años), deshabilitarlo en Squid elimina automáticamente esta vulnerabilidad, independientemente de la versión o parches aplicados. Puedes lograr esto editando el archivo de configuración de Squid, generalmente en /etc/squid/squid.conf. Asegúrate de que no haya directivas ftp_port activas y considera agregar una regla para denegar explícitamente el tráfico FTP:
# Deshabilita cualquier puerto FTP configurado explícitamente (si existe)
# ftp_port 21
# Añade una ACL para el protocolo FTP y deniega el acceso
acl FTP proto FTP
http_access deny FTP
# Reinicia el servicio Squid para aplicar los cambios
sudo systemctl restart squid
Verifica el estado del servicio después de reiniciar:
sudo systemctl status squid
2. Actualización Rigurosa de Squid
La corrección para Squidbleed implica una comprobación de terminador nulo antes de las llamadas vulnerables a strchr. Esta solución se integró en la rama de desarrollo de Squid en abril de 2024 y en la versión 7 en mayo.
Existe cierta inconsistencia en la información sobre la versión exacta que contiene el parche. Inicialmente, el mantenedor Amos Jeffries mencionó Squid 7.6, para luego corregirlo a 7.7. Sin embargo, Salvatore Bonaccorso de Debian ha señalado que la confirmación de la corrección podría estar ya presente en 7.6. La versión 7.6 también corrige una vulnerabilidad no relacionada (CVE-2026-50012), un desbordamiento de búfer en el montón de cache_digest.
Recomendación: Actualiza a la versión más reciente de Squid disponible para tu distribución y verifica explícitamente la presencia de la corrección, no solo la versión. Consulta los detalles del parche en el código fuente (FtpGateway.cc) o las notas de lanzamiento de tu distribución (por ejemplo, Debian incluye Squid 5.7 en versiones estables y es probable que lance actualizaciones de seguridad para ramas anteriores con el parche).
Puedes verificar la versión de Squid instalada con:
squid -v
Conclusión
Squidbleed (CVE-2026-47729) es un recordatorio de que la seguridad de la infraestructura es un proceso continuo que exige vigilancia constante. Aunque la vulnerabilidad requiere condiciones específicas para su explotación, el riesgo de filtración de credenciales en entornos de confianza es significativo. Para los ingenieros DevOps y SRE, la prioridad debe ser la implementación inmediata de las medidas de mitigación, comenzando por la desactivación de FTP. Mantener los sistemas actualizados y adherirse a las mejores prácticas de seguridad es fundamental para proteger la integridad y confidencialidad de los datos en nuestras redes.
