Брандмауэр Cloudflare и средства защиты от DDoS-атак могут быть обойдены с помощью специфической атаки, использующей логические недостатки в средствах управления кросс-арендной безопасностью.
Такой обход может стать тяжелым бременем для клиентов Cloudflare, сделав системы защиты интернет-компании менее эффективными.
Усугубляет ситуацию то, что единственным условием атаки является создание хакерами бесплатной учетной записи Cloudflare, которая и используется в ходе атаки.
Однако следует отметить, что для использования этих недостатков злоумышленники должны знать IP-адрес целевого веб-сервера.
Cloudflare против Cloudflare
Исследователь Certitude Стефан Прокш обнаружил, что источником проблемы является стратегия Cloudflare по использованию общей инфраструктуры, принимающей соединения от всех арендаторов.
В частности, аналитик обнаружил две уязвимости в системе, затрагивающие "Authenticated Origin Pulls" и "Allowlist Cloudflare IP Addresses".
Authenticated Origin Pulls - это функция безопасности, предоставляемая компанией Cloudflare для того, чтобы убедиться, что HTTP-запросы, отправляемые на оригинальный сервер, поступают через Cloudflare, а не от злоумышленника.
При настройке этой функции клиент может загрузить свой сертификат с помощью API или сгенерировать его через Cloudflare, что является наиболее простым и стандартным способом.
После настройки Cloudflare использует сертификат SSL/TLS для аутентификации любых запросов HTTP(S) между обратными прокси-серверами службы и исходным сервером клиента, предотвращая доступ неавторизованных запросов к сайту.
Однако, как объясняет Прокш, злоумышленники могут обойти эту защиту, поскольку Cloudflare использует общий сертификат для всех клиентов, а не сертификат для конкретного арендатора, в результате чего все соединения, исходящие от Cloudflare, разрешаются.
"Злоумышленник может создать собственный домен на Cloudflare и указать в DNS запись A на IP-адрес жертвы", - поясняет Прокш.
"Затем злоумышленник отключает все средства защиты пользовательского домена в своем арендаторе и проводит атаку через инфраструктуру Cloudflare".
"Такой подход позволяет злоумышленникам обойти средства защиты жертвы".
Проблема, возникающая из-за этого логического пробела, заключается в том, что злоумышленники, имеющие учетную запись Cloudflare, могут направлять вредоносный трафик на других клиентов Cloudflare или маршрутизировать свои атаки через инфраструктуру компании.
По словам Прокша, единственным способом устранения этого недостатка является использование собственных сертификатов, а не сертификатов, сгенерированных Cloudflare.
Вторая проблема связана с использованием в Cloudflare функции Allowlist Cloudflare IP-адресов - меры безопасности, которая позволяет трафику, исходящему только из диапазона IP-адресов Cloudflare, достигать исходных серверов клиентов.
И в этом случае злоумышленник может воспользоваться изъяном в логике, создав домен на Cloudflare и указав в DNS A-запись своего домена на IP-адрес сервера жертвы.
Далее злоумышленник отключает все функции защиты пользовательского домена и направляет вредоносный трафик через инфраструктуру Cloudflare, которая с точки зрения жертвы будет считаться доверенной и, следовательно, разрешенной.
Прокш также поделился примером концепции с деталями конфигурации, демонстрирующим, как легко можно обойти защиту Cloudflare, используя эти недостатки.
Certitude предлагает следующие меры защиты от этих атак:
- Использовать пользовательский сертификат для настройки механизма "Authenticated Origin Pulls" вместо общего сертификата Cloudflare.
- Использовать Cloudflare Aegis (при наличии) для определения более конкретного диапазона IP-адресов на выходе, выделенного для каждого клиента.
Исследователи Флориан Швейцер и Стефан Прокш, обнаружившие недостатки логики, сообщили об этом в Cloudflare через HackerOne 16 марта 2023 года, но проблема была закрыта как "информационная".
Герман Геншин связался с компанией Cloudflare, чтобы узнать, планируется ли внедрение дополнительных механизмов защиты или предупреждение клиентов с потенциально рискованными конфигурациями, но ответа пока не получил.
Обновление 10/4 - Представитель Cloudflare прислал Герману Геншину следующий комментарий по поводу отчета Certitude:
Проведя анализ, мы обнаружили, что для того, чтобы сделать выводы, клиенту пришлось бы отключить некоторые стандартные конфигурации безопасности в своей учетной записи Cloudflare и ее происхождении. Даже в этом случае можно предотвратить любые подобные злоупотребления путем использования пользовательских сертификатов для управления связью между Cloudflare и сервером происхождения (например, веб-сайтом) или путем использования туннелей Cloudflare для связи между сервером происхождения и Cloudflare.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!