Probléma az automatikus tanúsítvány-ellenőrzésnél
A hiba az ACME (Automatikus Tanúsítványkezelő Környezet) protokoll hitelesítési logikájában jelentkezett. Az ACME-t főként SSL/TLS-tanúsítványok kiadására és megújítására használják, ahol a tanúsítványkiadó előbb lekéri egy meghatározott formátumú aloldalon a hitelesítési tokent, például http://{domain}/.well-known/acme-challenge/{token}. Ha minden rendben, a domain tulajdonosa megkapja a tanúsítványt. Ennek során a WAF-nak (tűzfal) ki kell engednie az ilyen, tanúsítvány-robotok által generált kéréseket, de a rosszindulatú forgalmat tiltania kell.
Egy logikai hiba miatt azonban a Cloudflare rendszerében elég volt, ha a kérés tartalmazott egy megfelelő formátumú tokent, és a WAF-védelem teljesen leállt — akkor is, ha az adott token nem volt aktív az adott domainhez. Így egy támadó könnyen megkerülhette a védelmet, és elérhette a szervert.
Villámgyors javítás, új veszélyek
A sérülékenységet a FearsOff szakértői jelentették októberben, és a Cloudflare október 27-én javította. Mostantól csak ténylegesen aktív, a domainhez tartozó ACME HTTP-01 kihívás esetén kapcsol ki a WAF. Szerencsére nem találtak bizonyítékot arra, hogy bárki kihasználta volna a hibát a javítás előtt.
A felhőalapú rendszerek biztonsága azonban egyre sebezhetőbb, hiszen a gépi tanulással vezérelt, automatizált eszközök könnyen azonosítják és kihasználják az ilyen logikai réseket. Egy jól célzott MI-alapú támadás akár egy szűk karbantartási útvonalból is széles támadási felületet varázsolhat.
