Το τείχος προστασίας και η πρόληψη DDoS του Cloudflare μπορούν να παρακαμφθούν μέσω μιας συγκεκριμένης διαδικασίας επίθεσης που αξιοποιεί λογικά ελαττώματα στους ελέγχους ασφάλειας μεταξύ των μισθωτών.
Αυτή η παράκαμψη θα μπορούσε να φέρει τους πελάτες του Cloudflare σε μεγάλο
βάρος
, καθιστώντας τα συστήματα προστασίας της εταιρείας διαδικτύου λιγότερο αποτελεσματικά.
Για να γίνουν τα πράγματα χειρότερα, η μόνη απαίτηση για την επίθεση είναι οι χάκερ να δημιουργήσουν έναν δωρεάν λογαριασμό Cloudflare, ο οποίος χρησιμοποιείται ως μέρος της επίθεσης.
Ωστόσο, θα πρέπει να σημειωθεί ότι οι εισβολείς πρέπει να γνωρίζουν τη διεύθυνση IP ενός στοχευμένου διακομιστή ιστού για να κάνουν κατάχρηση αυτών των ελαττωμάτων.
Cloudflare vs Cloudflare
Ερευνητής του Certitude
ανακάλυψε ο Stefan Proksch
ότι η πηγή του προβλήματος είναι η στρατηγική του Cloudflare να χρησιμοποιεί κοινόχρηστη
υποδομή
που δέχεται συνδέσεις από όλους τους ενοικιαστές.
Συγκεκριμένα, ο αναλυτής εντόπισε δύο τρωτά σημεία στο σύστημα που επηρεάζουν τις “Authenticated Origin Pulls” και τις “Allowlist Cloudflare IP Addresses” του Cloudflare.
Το Authenticated Origin Pulls είναι μια δυνατότητα ασφαλείας που παρέχεται από το Cloudflare για να διασφαλίσει ότι τα αιτήματα HTTP που αποστέλλονται σε διακομιστή προέλευσης προέρχονται μέσω του Cloudflare και όχι από έναν εισβολέα.
Κατά τη διαμόρφωση αυτής της δυνατότητας, οι πελάτες μπορούν να ανεβάσουν τα πιστοποιητικά τους χρησιμοποιώντας ένα API ή να δημιουργήσουν ένα μέσω του Cloudflare, της προεπιλεγμένης και πιο εύκολης μεθόδου.
Εγκατάσταση πιστοποιητικού προέλευσης Cloudflare
Πηγή: BleepingComputer
Αφού ρυθμιστεί, το Cloudflare χρησιμοποιεί το πιστοποιητικό SSL/TLS για τον έλεγχο ταυτότητας τυχόν αιτημάτων HTTP(S) μεταξύ των αντίστροφων διακομιστών μεσολάβησης της υπηρεσίας και του διακομιστή προέλευσης του πελάτη, αποτρέποντας μη εξουσιοδοτημένα αιτήματα από την πρόσβαση στον ιστότοπο.
Ωστόσο, όπως εξηγεί ο Proksch, οι εισβολείς μπορούν να παρακάμψουν αυτήν την προστασία καθώς το Cloudflare χρησιμοποιεί ένα κοινόχρηστο πιστοποιητικό για όλους τους πελάτες αντί για ένα συγκεκριμένο για ενοικιαστή, με αποτέλεσμα να επιτρέπονται όλες οι συνδέσεις που προέρχονται από το Cloudflare.
“Ένας εισβολέας μπορεί να εγκαταστήσει έναν προσαρμοσμένο τομέα με το Cloudflare και να κατευθύνει την εγγραφή DNS A στη διεύθυνση IP των θυμάτων”, εξηγεί ο Proksch.
“Ο εισβολέας στη συνέχεια απενεργοποιεί όλες τις δυνατότητες προστασίας για αυτόν τον προσαρμοσμένο τομέα στον μισθωτή του και διοχετεύει τις επιθέσεις του μέσω της υποδομής Cloudflare.”
“Αυτή η προσέγγιση επιτρέπει στους εισβολείς να παρακάμψουν τα χαρακτηριστικά προστασίας από το θύμα.”
Αξιοποίηση κοινών πιστοποιητικών Cloudflare
(Βεβαιότητα)
Το
πρόβλημα
που προκύπτει από αυτό το λογικό κενό είναι ότι οι εισβολείς με λογαριασμό Cloudflare μπορούν να κατευθύνουν κακόβουλη κίνηση σε άλλους πελάτες Cloudflare ή να δρομολογούν τις επιθέσεις τους μέσω της υποδομής της εταιρείας.
Ο Proksch λέει ότι ο μόνος τρόπος για να μετριαστεί αυτή η αδυναμία είναι να χρησιμοποιήσετε προσαρμοσμένα πιστοποιητικά αντί για ένα που δημιουργείται από το Cloudflare.
Το δεύτερο ζήτημα επηρεάζει τις διευθύνσεις IP του Cloudflare Allowlist Cloudflare, ένα μέτρο ασφαλείας που επιτρέπει μόνο στην κυκλοφορία που προέρχεται από το εύρος διευθύνσεων IP του Cloudflare να προσεγγίζει τους διακομιστές προέλευσης των πελατών.
Και
πάλι, ένας εισβολέας μπορεί να αξιοποιήσει ένα ελάττωμα στη λογική δημιουργώντας έναν τομέα με το Cloudflare και δείχνοντας την εγγραφή DNS A του τομέα του στη διεύθυνση IP του διακομιστή του θύματος-στόχου.
Στη συνέχεια, απενεργοποιούν όλες τις δυνατότητες προστασίας για τον προσαρμοσμένο τομέα και δρομολογούν την κακόβουλη κυκλοφορία μέσω της υποδομής του Cloudflare, η οποία θα θεωρείται αξιόπιστη από την πλευρά του θύματος και, ως εκ τούτου, θα επιτρέπεται.
Εκμετάλλευση Allowlist Cloudflare IP
(Βεβαιότητα)
Η Proksch μοιράστηκε επίσης μια απόδειξη της ιδέας με λεπτομέρειες διαμόρφωσης για να δείξει πόσο εύκολο είναι να παρακάμψετε τις προστασίες Cloudflare αξιοποιώντας τα ελαττώματα.
Η Certitude προτείνει τα ακόλουθα αμυντικά μέτρα έναντι αυτών των επιθέσεων:
- Χρησιμοποιήστε ένα προσαρμοσμένο πιστοποιητικό για να διαμορφώσετε τον μηχανισμό “Authenticated Origin Pulls” αντί για το κοινόχρηστο πιστοποιητικό του Cloudflare.
- Χρησιμοποιήστε το Cloudflare Aegis (εάν υπάρχει) για να ορίσετε ένα πιο συγκεκριμένο εύρος διευθύνσεων IP εξόδου που είναι αφιερωμένο σε κάθε πελάτη.
Οι ερευνητές Florian Schweitzer και Stefan Proksch, οι οποίοι ανακάλυψαν τα λογικά ελαττώματα, το ανέφεραν στο Cloudflare μέσω HackerOne στις 16 Μαρτίου 2023, αλλά το θέμα έκλεισε ως “ενημερωτικό”.
Η BleepingComputer επικοινώνησε με το Cloudflare για να ρωτήσει εάν υπάρχουν σχέδια για την
εφαρμογή
πρόσθετων μηχανισμών προστασίας ή την προειδοποίηση πελατών με δυνητικά επικίνδυνες διαμορφώσεις, αλλά δεν έχουμε λάβει ακόμη νέα.