Cloudflare-ov firewall i prevencija DDoS-a mogu se zaobići kroz specifičan proces napada koji koristi logičke nedostatke u sigurnosnim kontrolama među zakupcima.
Ovo zaobilaženje bi moglo staviti klijente Cloudflarea pod težak teret, čineći sisteme zaštite internet kompanije manje efikasnim.
Da stvar bude gora, jedini uslov za napad je da hakeri kreiraju besplatan Cloudflare nalog, koji se koristi kao deo napada.
Međutim, treba napomenuti da napadači moraju znati IP adresu ciljanog web servera da bi zloupotrebili ove nedostatke.
Cloudflare vs Cloudflare
Istraživač Certitude-a Stefan Proksch otkrio je da je izvor problema Cloudflareova strategija da koristi zajedničku infrastrukturu koja prihvata veze svih zakupaca.
Konkretno, analitičar je identifikovao dvije ranjivosti u sistemu koje utiču na Cloudflareove “Authentificated Origin Pulls” i “Allowlist Cloudflare IP Addresses”.
Authenticated Origin Pulls je sigurnosna funkcija koju pruža Cloudflare kako bi se osiguralo da HTTP(s) zahtjevi poslani izvornom serveru dolaze preko Cloudflarea, a ne od napadača.
Kada konfigurišu ovu funkciju, korisnici mogu da otpreme svoje sertifikate pomoću API-ja ili da ga generišu preko Cloudflarea, podrazumevanog i najlakšeg načina.
Jednom konfigurisan, Cloudflare koristi SSL/TLS certifikat za provjeru autentičnosti bilo kojeg HTTP(S) zahtjeva između obrnutih proksija usluge i klijentovog izvornog servera, sprječavajući neovlaštene zahtjeve da pristupe web stranici.
Međutim, kako objašnjava Proksch, napadači mogu zaobići ovu zaštitu jer Cloudflare koristi zajednički certifikat za sve kupce umjesto certifikata specifičnog za zakupca, što uzrokuje da sve veze koje potiču iz Cloudflare-a budu dozvoljene.
“Napadač može podesiti prilagođenu domenu sa Cloudflare-om i usmjeriti DNS A zapis na IP adresu žrtve”, objašnjava Proksch.
“Napadač tada onemogućuje sve zaštitne osobine za tu prilagođenu domenu zakupcu i tunelira svoje napade kroz Cloudflare-ovu infrastrukturu.”
“Ovaj pristup omogućava napadačima da zaobiđu zaštitne funkcije žrtve.”
Problem koji proizlazi iz ovog logičkog jaza je da napadači sa Cloudflare nalogom mogu usmjeriti zlonamjerni promet na druge Cloudflare klijente ili usmjeriti svoje napade kroz infrastrukturu kompanije.
Proksch kaže da je jedini način da se ublaži ova slabost korištenje prilagođenih certifikata umjesto onih koje generiše Cloudflare.
Drugi problem utiče na Cloudflare-ovu listu dozvoljenih Cloudflare IP adresa, sigurnosnu mjeru koja dozvoljava samo prometu koji potiče iz opsega Cloudflare IP adresa da stigne do izvornih servera klijenata.
Opet, napadač može iskoristiti nedostatak u logici tako što će postaviti domen sa Cloudflareom i usmjeriti DNS A zapis svog domena na IP adresu servera ciljne žrtve.
Zatim, oni isključuju sve funkcije zaštite za prilagođeni domen i usmjeravaju zlonamjerni promet kroz Cloudflare-ovu infrastrukturu, koja će se smatrati pouzdanom iz perspektive žrtve i, stoga, dozvoljena.
Proksch je također podijelio dokaz koncepta s detaljima konfiguracije kako bi pokazao koliko je lako zaobići Cloudflare zaštitu korištenjem nedostataka.
Certitude predlaže sljedeće mjere odbrane od ovih napada:
- Koristite prilagođeni certifikat da konfigurišete mehanizam “Authenticated Origin Pulls” umjesto zajedničkog certifikata Cloudflarea.
- Koristite Cloudflare Aegis (ako je dostupan) da definišete specifičniji opseg izlaznih IP adresa posvećenih svakom klijentu.
Istraživači Florian Schweitzer i Stefan Proksch, koji su otkrili logičke nedostatke, prijavili su to Cloudflareu putem HackerOnea 16. marta 2023. godine, ali je pitanje zatvoreno kao “informativno”.
BleepingComputer je kontaktirao Cloudflare da pita da li postoje planovi za implementaciju dodatnih zaštitnih mehanizama ili upozorenje klijenata sa potencijalno rizičnim konfiguracijama, ali još nismo dobili odgovor.
Izvor:BleepingComputer
