Een kwetsbaarheid in een content delivery network (CDN) van internetbedrijf Cloudflare maakte een aanval op miljoenen websites mogelijk, zo ontdekte een beveiligingsonderzoeker met het alias RyotaK. Cloudflare is de eigenaar van cdnjs, een CDN dat door 12,7 procent van alle websites op internet wordt gebruikt voor het laden van JavaScript libraries en CSS-scripts.

Cdjns biedt ontwikkelaars de mogelijkheid om libraries toe te voegen die nog niet in het CDN aanwezig zijn. Periodiek controleert de cdnjs-updateserver of er nieuwe versies van de al toegevoegde libraries zijn, die dan bij de respository van de betreffende ontwikkelaar worden gedownload. RyotaK ontdekte dat hij de cdnjs-updateserver via zijn repository een TGZ-bestand kon laten laden dat misbruik van path travesal maakte. Zo kon er een script op de updateserver door zijn script worden overschreven en uitgevoerd. Daardoor was het vervolgens mogelijk om de volledige cdnjs-infrastructuur te compromitteren, wat gevolgen zou hebben voor miljoenen websites die er gebruik van maken.

De onderzoeker waarschuwde Cloudflare op 6 april, waarna het internetbedrijf op 6 en 7 juli twee fixes doorvoerde om het probleem te verhelpen. Op 3 juni volgde de definitieve fix, waarop RyotaK nu de details van de kwetsbaarheid openbaar heeft gemaakt. "Dit beveiligingslek kon zonder enige speciale vaardigheden worden misbruikt en had vele websites kunnen raken", aldus de onderzoeker, die zich grote zorgen maakt over eenvoudig te misbruiken kwetsbaarheden in de supply-chain die grote gevolgen kunnen hebben.