Сапожник без сапог: защиту Cloudflare от DDoS удалось обойти через Cloudflare

Специалисты компании Certitude выявили пробелы в механизмах защиты от DDoS-атак и фаерволе компании Cloudflare. Для эксплуатации уязвимостей злоумышленнику достаточно создать бесплатный аккаунт на платформе Cloudflare, что позволяет обойти системы защиты, используя логические ошибки в межклиентских механизмах контроля безопасности.

Проблемы возникают из-за стратегии Cloudflare по использованию общей инфраструктуры, принимающей соединения от всех арендаторов. Эксперты обнаружили две уязвимости, затрагивающие функции Authenticated Origin Pulls и Allowlist Cloudflare IP Addresses.

• Authenticated Origin Pulls. Уязвимость связана с тем, как Cloudflare проверяет, что HTTP(S) запросы к исходному серверу клиента проходят через сеть Cloudflare, а не напрямую от злоумышленника. Проблема заключается в использовании общего сертификата SSL/TLS для всех клиентов вместо уникальных сертификатов для каждого клиента. Такой механизм позволяет атакующему создать собственный домен в Cloudflare, настроить DNS запись А на IP-адрес жертвы и перенаправить запросы на сервер жертвы через Cloudflare, что делает атаки менее заметными для системы защиты.
• Allowlist Cloudflare IP Addresses. Уязвимость связана с механизмом, который разрешает трафик к серверам клиентов только от IP-адресов Cloudflare. Атакующий может обойти этот контроль, создав домен в Cloudflare, указав DNS запись А на IP-адрес жертвы, и отключив все функции защиты для этого домена. Это позволяет атакующему направлять вредоносный трафик через инфраструктуру Cloudflare, и поскольку трафик исходит от IP-адресов Cloudflare, он будет принят системой жертвы как легитимный.

Отличие двух способов атаки заключается в том, что первая уязвимость обходит систему защиты, эксплуатируя механизм аутентификации запросов, а вторая уязвимость эксплуатирует механизм разрешения трафика на основе IP-адресов.

В Certitude также предложили решения для защиты от таких атак, включая использование собственных сертификатов для настройки механизма Authenticated Origin Pulls и использование Cloudflare Aegis для определения более конкретного диапазона IP-адресов для каждого клиента. Cloudflare пока не дала никаких комментариев по вопросу о возможных планах по внедрению дополнительных механизмов защиты или предупреждении клиентов о потенциально рискованных конфигурациях.