Le protezioni Firewall e DDoS di Cloudflare possono essere bypassate attraverso un processo di attacco specifico che sfrutta difetti logici nei controlli di sicurezza cross-tenant. Questo bypass potrebbe mettere i clienti di Cloudflare sotto un pesante carico, rendendo meno efficaci i sistemi di protezione della società internet. Peggiorando la situazione, l’unico requisito per l’attacco è che gli hacker creino un account Cloudflare gratuito, che viene utilizzato come parte dell’attacco. Tuttavia, è importante notare che gli aggressori devono conoscere l’indirizzo IP del server web bersaglio per abusare di questi difetti.
Il ricercatore di Certitude, Stefan Proksch, ha scoperto che la fonte del problema è la strategia di Cloudflare di utilizzare un’infrastruttura condivisa che accetta connessioni da tutti i tenant. In particolare, l’analista ha identificato due vulnerabilità nel sistema che influenzano le “Authenticated Origin Pulls” e “Allowlist Cloudflare IP Addresses” di Cloudflare. Le “Authenticated Origin Pulls” sono una funzione di sicurezza fornita da Cloudflare per garantire che le richieste HTTP(s) inviate a un server di origine passino attraverso Cloudflare e non da un aggressore. Tuttavia, come spiega Proksch, gli aggressori possono bypassare questa protezione poiché Cloudflare utilizza un certificato condiviso per tutti i clienti invece di uno specifico per tenant.
Il problema derivante da questa lacuna logica è che gli aggressori con un account Cloudflare possono indirizzare traffico dannoso ad altri clienti Cloudflare o instradare i loro attacchi attraverso l’infrastruttura della società. Proksch afferma che l’unico modo per mitigare questa debolezza è utilizzare certificati personalizzati piuttosto che uno generato da Cloudflare.
Il secondo problema riguarda l’opzione “Allowlist Cloudflare IP addresses” di Cloudflare, una misura di sicurezza che consente solo al traffico proveniente dalla gamma di indirizzi IP di Cloudflare di raggiungere i server di origine dei clienti. Ancora una volta, un aggressore può sfruttare un difetto nella logica impostando un dominio con Cloudflare e puntando il record DNS A del proprio dominio all’indirizzo IP del server vittima.
I ricercatori Florian Schweitzer e Stefan Proksch, che hanno scoperto i difetti logici, lo hanno segnalato a Cloudflare tramite HackerOne il 16 marzo 2023, ma il problema è stato chiuso come “informativo”. BleepingComputer ha contattato Cloudflare per chiedere se ci sono piani per implementare ulteriori meccanismi di protezione o avvertire i clienti con configurazioni potenzialmente rischiose, ma non abbiamo ancora ricevuto risposta.