A Certitude infokommunikációs tanácsadó cég két sérülékenységet talált a Cloudflare tanúsítvány kezelési rendszerében, amelyekkel a támadók megkerülhetik annak DDoS védelmét. A sérülékenység azon az előfeltevésen alapul, hogy a Cloudflare-től származó eredeti szerverre irányuló összes forgalom megbízható, míg a többi fél forgalmát el kell utasítani.
Két sebezhetőség azonosítható a Cloudflare védelmi rendszerében, amelyek hatással vannak a Cloudflare „Authenticated Origin Pulls” és „Allowlist Cloudflare IP Addresses” szolgáltatásaira.
Az Authenticated Origin Pulls a Cloudflare által biztosított biztonsági funkció, amely arról gondoskodik, hogy a kiszolgálónak küldött HTTP kérések a Cloudflare-en keresztül érkezzenek, és ne egy támadótól. A funkció konfigurálásakor az ügyfelek API-n keresztül feltölthetik tanúsítványaikat, vagy létrehozhatnak egyet a Cloudflare segítségével.
A konfigurálást követően a Cloudflare a SSL/TLS-tanúsítványt használja a HTTP(S) kérések hitelesítésére a szolgáltatás fordított proxy-jai és az ügyfél eredeti szervere között, megakadályozva ezzel, hogy illetéktelen kérések hozzáférjenek a webhelyhez. Azonban a támadók megkerülhetik ezt a védelmet, mivel a Cloudflare megosztott tanúsítványt használ a ügyfélspecifikus tanúsítvány helyett, így a Cloudflare-től érkező összes kapcsolat engedélyezett.
A támadó egyéni tartományt állíthat be a Cloudflare segítségével, és a DNS A rekordot az áldozat IP címére irányíthatja, majd ezután letiltja az adott egyéni tartomány összes védelmi funkciót, és a támadás(oka)t a Cloudflare infrastruktúrán keresztül továbbítja. Ez a megközelítés lehetővé teszi a támadók számára, hogy megkerüljék a védelmi funkciókat. Ebből a logikai hézagból adódó probléma az, hogy a Cloudflare fiókkal rendelkező támadók a rosszindulatú forgalmat más Cloudflare kliensekre, vagy a vállalat infrastruktúráján keresztül irányíthatják.
A sérülékenység enyhítésének egyetlen módja, ha a rendszergazdák egyéni tanúsítványokat használnak a Cloudflare által generáltak helyett.
A „Allowlist Cloudflare IP addresses” mechanizmus használatával, az ügyfél szervere elutasít minden olyan kapcsolatot, amely nem a Cloudflare IP-címtartományából származik. A telepítési dokumentáció leírja, hogyan kell beállítani ezeket a tartományokat .htaccess fájl vagy iptables használatával.
A támadó ismét kihasználhatja a logikai hibát, ha létrehoz egy tartományt a Cloudflare-rel, és a tartomány DNS A rekordját a céláldozat szerverének IP címére irányítja. Ezt követően kikapcsolják az egyéni tartomány összes védelmi funkcióját, és a rosszindulatú forgalmat a Cloudflare infrastruktúráján keresztül irányítják, amely az áldozat szemszögéből megbízhatónak tekinthető, és ezért engedélyezett.
A Cloudflare megosztott tanúsítványa helyett javasolt az egyéni tanúsítvány használata az „Authenticated Origin Pulls” mechanizmus konfigurálásához. A Cloudflare Aegis segítségével meg kell határozni egy konkrétabb kilépési IP címtartományt.
