As ferramentas de firewall e prevenção DDoS da Cloudflare carregam duas vulnerabilidades preocupantes que permitem que os agentes de ameaças enviem tráfego malicioso em sua direção ou usem seus servidores para redirecionar o tráfego malicioso para outro lugar, afirmam os especialistas.
De acordo com Stefan Proksch, pesquisador da Certitude, as vulnerabilidades podem ser encontradas nos pulls de origem autenticados da Cloudflare e na lista de permissões de endereços IP da Cloudflare.
A primeira é uma ferramenta de segurança que garante que as solicitações HTTPS enviadas a um servidor de origem sejam provenientes da Cloudflare, e não de terceiros. A lista de permissões de endereços IP da Cloudflare, por outro lado, é um recurso de segurança que garante que apenas o tráfego proveniente dos endereços IP da Cloudflare chegue aos servidores de origem dos clientes.
Falhas lógicas
As vulnerabilidades aproveitam falhas lógicas nos controles de segurança entre locatários, possibilitadas pelo fato de a Cloudflare usar infraestrutura compartilhada, aceitando conexões de todos os locatários. Para abusar das falhas, tudo o que um agente de ameaça precisa é o conhecimento do endereço IP do servidor web visado e um ataque Cloudflare gratuito. Conforme explicou o pesquisador, ao configurar o recurso Authenticated Origin Pulls, os usuários geram um certificado por meio da Cloudflare, por padrão. Alternativamente, eles podem fazer upload dos seus próprios usando uma API.
Agora, dado que a Cloudflare usa um certificado compartilhado para todos os clientes, todas as conexões originadas da Cloudflare são justas: “Um invasor pode configurar um domínio personalizado com a Cloudflare e apontar o registro DNS A para o endereço IP das vítimas”, disse Proksch. “O invasor então desativa todos os recursos de proteção desse domínio personalizado em seu locatário e encapsula seu(s) ataque(s) através da infraestrutura Cloudflare.”
“Esta abordagem permite que os invasores contornem os recursos de proteção da vítima.”
Para mitigar esse problema, os usuários devem usar certificados personalizados.
Quanto à ferramenta Allowlist Cloudflare IP Addresses, se um invasor criar uma conta Cloudflare e apontar o registro DNS A de seu domínio para o endereço IP do servidor vítima e desativar todos os recursos de proteção do domínio personalizado, ele poderá rotear o tráfego malicioso por meio da infraestrutura da Cloudflare. Do lado da vítima, este tráfego será visto como legítimo.
Para definir um intervalo de endereços IP agressivos mais específico, dedicado a diferentes clientes, os usuários devem usar o Cloudflare Aegis, sugere o pesquisador.
