A védvonalon rés tátong: kritikus hiba a Cloudflare WAF-ban

A Cloudflare szakemberei egy komoly biztonsági hibát javítottak ki a cég webalkalmazás-tűzfalában (WAF), amely lehetőséget adott támadóknak arra, hogy megkerüljék a tűzfalat, és közvetlenül elérjék az eredeti szervereket. Ez akár adatlopáshoz vagy a szerver teljes átvételéhez is vezethetett volna.

Probléma az automatikus tanúsítvány-ellenőrzésnél

A hiba az ACME (Automatikus Tanúsítványkezelő Környezet) protokoll hitelesítési logikájában jelentkezett. Az ACME-t főként SSL/TLS-tanúsítványok kiadására és megújítására használják, ahol a tanúsítványkiadó előbb lekéri egy meghatározott formátumú aloldalon a hitelesítési tokent, például http://{domain}/.well-known/acme-challenge/{token}. Ha minden rendben, a domain tulajdonosa megkapja a tanúsítványt. Ennek során a WAF-nak (tűzfal) ki kell engednie az ilyen, tanúsítvány-robotok által generált kéréseket, de a rosszindulatú forgalmat tiltania kell.

Egy logikai hiba miatt azonban a Cloudflare rendszerében elég volt, ha a kérés tartalmazott egy megfelelő formátumú tokent, és a WAF-védelem teljesen leállt — akkor is, ha az adott token nem volt aktív az adott domainhez. Így egy támadó könnyen megkerülhette a védelmet, és elérhette a szervert.

Villámgyors javítás, új veszélyek

A sérülékenységet a FearsOff szakértői jelentették októberben, és a Cloudflare október 27-én javította. Mostantól csak ténylegesen aktív, a domainhez tartozó ACME HTTP-01 kihívás esetén kapcsol ki a WAF. Szerencsére nem találtak bizonyítékot arra, hogy bárki kihasználta volna a hibát a javítás előtt.

A felhőalapú rendszerek biztonsága azonban egyre sebezhetőbb, hiszen a gépi tanulással vezérelt, automatizált eszközök könnyen azonosítják és kihasználják az ilyen logikai réseket. Egy jól célzott MI-alapú támadás akár egy szűk karbantartási útvonalból is széles támadási felületet varázsolhat.

2025, adrienne, go.theregister.com alapján