Hackers estão cada vez mais abusando do legítimo recurso Cloudflare Tunnels para criar conexões HTTPS discretas a partir de dispositivos comprometidos, burlar firewalls e manter a persistência de longo prazo.
A técnica não é totalmente nova, já que Phylum relatou em janeiro de 2023 que atores de ameaças criaram pacotes PyPI maliciosos que usaram o Cloudflare Tunnels para roubar dados furtivamente ou acessar dispositivos remotamente.
No entanto, parece que mais atores de ameaça começaram a usar essa tática, como as equipes DFIR e GRIT da GuidePoint relataram na semana passada, observando um aumento na atividade.
O CloudFlare Tunnels é um recurso popular fornecido pela Cloudflare, permitindo que os usuários criem conexões seguras e apenas de saída para a rede Cloudflare para servidores web ou aplicativos.
Os usuários podem implantar um túnel simplesmente instalando um dos clientes disponíveis do cloudflared para Linux, Windows, macOS e Docker.
A partir daí, o serviço é exposto à internet em um nome de host especificado pelo usuário para acomodar cenários de uso legítimo, como compartilhamento de recursos, testes, etc.
Os túneis da Cloudflare oferecem uma variedade de controles de acesso, configurações de gateway, gerenciamento de equipe e análises de usuários, dando aos usuários um alto grau de controle sobre o túnel e os serviços comprometidos expostos.
No relatório da GuidePoint, os pesquisadores dizem que mais atores de ameaças abusam dos túneis da Cloudflare para fins nefastos, como obter acesso persistente discreto à rede da vítima, evitando detecção e exfiltrando dados de dispositivos comprometidos.
Um único comando do dispositivo da vítima, que não expõe nada além do token de túnel único do atacante, é suficiente para configurar o canal de comunicação discreto.
Ao mesmo tempo, o ator da ameaça pode modificar a configuração do túnel, desativá-lo e ativá-lo em tempo real conforme necessário.
"O túnel é atualizado assim que a alteração de configuração é feita no Dashboard da Cloudflare, permitindo que os TA habilitem a funcionalidade apenas quando quiserem realizar atividades na máquina da vítima, depois desativem a funcionalidade para evitar a exposição de sua infraestrutura", explica a GuidePoint.
"Por exemplo, o TA poderia habilitar a conectividade RDP, coletar informações da máquina da vítima, depois desativar o RDP até o dia seguinte, diminuindo assim a chance de detecção ou a capacidade de observar o domínio utilizado para estabelecer a conexão."
Como a conexão HTTPS e a troca de dados ocorrem por meio do QUIC na porta 7844, é improvável que os firewalls ou outras soluções de proteção de rede sinalizem esse processo, a menos que estejam especificamente configurados para isso.
Além disso, se o invasor quiser ser ainda mais discreto, ele pode abusar do recurso 'TryCloudflare' da Cloudflare, que permite aos usuários criar túneis únicos sem a necessidade de criar uma conta.
Para piorar a situação, a GuidePoint diz que também é possível abusar do recurso 'Redes Privadas' da Cloudflare para permitir que um invasor que estabeleceu um túnel para um único dispositivo cliente (vítima) acesse remotamente uma gama inteira de endereços IP internos.
"Agora que a rede privada está configurada, posso me deslocar para dispositivos na rede local, acessando serviços que são limitados aos usuários da rede local", alertou o pesquisador da GuidePoint, Nic Finn.
Para detectar o uso não autorizado dos túneis da Cloudflare, a GuidePoint recomenda que as organizações monitorem consultas DNS específicas (compartilhadas no relatório) e usem portas não padrão como 7844.
Além disso, como o túnel da Cloudflare requer a instalação do cliente 'cloudflared', os defensores podem detectar seu uso monitorando as hashes de arquivo associadas aos lançamentos do cliente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...