Sistema de prevenção a DDoS da Cloudflare é usado em ataque

Da Redação
01/10/2023

O sistema de prevenção de firewall e a ataques distribuídos de negação de serviço (DDoS) da Cloudflare pode ser contornado por meio de um processo de ataque específico que aproveita falhas lógicas em controles de segurança entre cross-tenant — grupo de usuários que compartilha o acesso com privilégios específicos para uma instância de um sistema.

Esse desvio pode tornar os sistemas de proteção da empresa menos eficazes. Para piorar, o único requisito para o ataque é que os hackers criem uma conta gratuita da Cloudflare. Para tal, no entanto, os invasores devem saber o endereço IP do servidor web alvo para que possam explorar essas falhas.

O pesquisador da Certitude Consulting, Stefan Proksch, descobriu que a origem do problema é a estratégia da Cloudflare de usar infraestrutura compartilhada que aceita conexões de todos os cross-tenant (“inquilinos”). Ele identificou duas vulnerabilidades no sistema que afetam os “Authenticated Origin Pulls” e “Allowlist Cloudflare IP Addresses” da Cloudflare.

O Authenticated Origin Pulls é um recurso de segurança fornecido pela empresa para garantir que as solicitações HTTP (protocolo de transferência de hipertexto) enviadas a um servidor de origem venham por meio da Cloudflare e não de um invasor.

Ao configurar esse recurso, os clientes podem carregar seus certificados usando uma API ou gerar um por meio da Cloudflare, o método padrão e mais fácil. Uma vez configurada, a Cloudflare usa o certificado SSL/TLS para autenticar quaisquer solicitações HTTP entre os proxies reversos do serviço e o servidor de origem do cliente, impedindo que solicitações não autorizadas acessem o site.

No entanto, como explica Proksch, os invasores podem ignorar essa proteção, pois a Cloudflare usa um certificado compartilhado para todos os clientes em vez de um certificado específico do “inquilino”, fazendo com que todas as conexões originadas da Cloudflare sejam permitidas.

“Um invasor pode configurar um domínio personalizado com a Cloudflare e apontar o registro DNS A para o endereço IP das vítimas”, afirma Proksch. “Em seguida, o invasor desabilita todos os recursos de proteção para esse domínio personalizado em seu locatário e encapsula o(s) ataque(s) por meio da infraestrutura da Cloudflare. Essa abordagem permite que os agressores ignorem os recursos de proteção da vítima.”

Proksch diz que a única maneira de mitigar essa fraqueza é usar certificados personalizados em vez de um gerado pela Cloudflare.

Veja isso
Hackers estão usando o Cloudflare Tunnel para roubar dados
Cloudflare bloqueia ataque DDoS recorde, de 71 milhões de rps

O segundo problema afeta os endereços IP da Cloudflare Allowlist da Cloudflare, uma medida de segurança que só permite que o tráfego proveniente do intervalo de endereços IP da Cloudflare chegue aos servidores de origem dos clientes.

Novamente, um invasor pode aproveitar uma falha na lógica configurando um domínio com a Cloudflare e apontando o registro DNS A de seu domínio para o endereço IP do servidor da vítima de destino.

Em seguida, eles desativam todos os recursos de proteção para o domínio personalizado e roteiam o tráfego malicioso por meio da infraestrutura da Cloudflare, que será vista como confiável da perspectiva da vítima e, portanto, permitida.

A Proksch também compartilhou uma prova de conceito com detalhes de configuração para demonstrar como é fácil contornar as proteções da Cloudflare aproveitando as falhas. 

Para ter acesso ao artigo original (em inglês) de Proksch e às medidas de defesa contra esses ataques, basta clicar aqui.

Compartilhar: