As proteções DDoS da Cloudflare são contornadas usando a própria Cloudflare
2 de Outubro de 2023

O Firewall e a prevenção de DDoS da Cloudflare podem ser contornados por meio de um processo de ataque específico que se aproveita de falhas lógicas nos controles de segurança entre inquilinos.

Essa brecha poderia sobrecarregar os clientes da Cloudflare, tornando os sistemas de proteção da empresa de internet menos eficazes.

Para piorar a situação, a única exigência para o ataque é que os hackers criem uma conta gratuita na Cloudflare, que é usada como parte do ataque.

No entanto, deve-se notar que os atacantes devem saber o endereço IP do servidor web alvo para abusar dessas falhas.

O pesquisador da Certitude, Stefan Proksch, descobriu que a fonte do problema é a estratégia da Cloudflare de usar infraestrutura compartilhada que aceita conexões de todos os inquilinos.

Especificamente, o analista identificou duas vulnerabilidades no sistema que afetam os "Authenticated Origin Pulls" e as "Allowlist Cloudflare IP Addresses" da Cloudflare.

Authenticated Origin Pulls é um recurso de segurança fornecido pela Cloudflare para garantir que as solicitações HTTP(s) enviadas a um servidor de origem passem pela Cloudflare e não por um invasor.

Ao configurar esse recurso, os clientes podem fazer upload de seus certificados usando uma API ou gerar um através do Cloudflare, o método padrão e mais fácil.

Uma vez configurado, a Cloudflare usa o certificado SSL/TLS para autenticar qualquer solicitação HTTP(S) entre os proxies reversos do serviço e o servidor de origem do cliente, impedindo que solicitações não autorizadas acessem o site.

No entanto, como Proksch explica, invasores podem contornar essa proteção, pois a Cloudflare usa um certificado compartilhado para todos os clientes, em vez de um específico para cada inquilino, permitindo todas as conexões originadas da Cloudflare.

"Um invasor pode configurar um domínio personalizado com a Cloudflare e apontar o registro DNS A para o endereço IP da vítima", explica Proksch.

"O invasor então desativa todas as funções de proteção para aquele domínio personalizado em seu inquilino e canaliza seus ataques através da infraestrutura da Cloudflare."

"Essa abordagem permite que os invasores contornem as funções de proteção da vítima."

O problema decorrente dessa lacuna lógica é que os invasores com uma conta na Cloudflare podem direcionar tráfego malicioso para outros clientes da Cloudflare ou rotear seus ataques através da infraestrutura da empresa.

Proksch diz que a única maneira de mitigar essa fraqueza é usar certificados personalizados em vez de um gerado pela Cloudflare.

O segundo problema afeta as Allowlist Cloudflare IP Addresses, uma medida de segurança que permite apenas que o tráfego originado do intervalo de endereços IP da Cloudflare atinja os servidores de origem dos clientes.

Novamente, um invasor pode se aproveitar de uma falha na lógica ao configurar um domínio com a Cloudflare e apontar o registro DNS A de seu domínio para o endereço IP do servidor da vítima.

Em seguida, eles desativam todas as funções de proteção para o domínio personalizado e roteiam o tráfego malicioso através da infraestrutura do Cloudflare, que será visto como confiável do ponto de vista da vítima e, portanto, permitido.

Proksch também compartilhou uma prova de conceito com detalhes de configuração para demonstrar como é fácil contornar as proteções da Cloudflare alavancando as falhas.

A Certitude propõe as seguintes medidas de defesa contra esses ataques:

Use um certificado personalizado para configurar o mecanismo "Authenticated Origin Pulls" em vez do certificado compartilhado pela Cloudflare.

Use o Cloudflare Aegis (se disponível) para definir uma faixa de endereço IP de saída mais específica dedicada a cada cliente.


Os pesquisadores Florian Schweitzer e Stefan Proksch, que descobriram as falhas lógicas, relataram através do HackerOne à Cloudflare em 16 de março de 2023, mas o problema foi encerrado como "informativo".

O BleepingComputer entrou em contato com a Cloudflare para perguntar se há planos de implementar mecanismos de proteção adicionais ou alertar clientes com configurações potencialmente arriscadas, mas ainda não obtivemos resposta.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...