Οι hackers εκμεταλλεύονται όλο και περισσότερο την νόμιμη λειτουργία Cloudflare Tunnels προκειμένου να δημιουργήσουν κρυφές συνδέσεις HTTPS από παραβιασμένες συσκευές, παρακάμπτοντας τα τείχη προστασίας και διατηρώντας την επίμονη παρουσία τους.
Δείτε επίσης: Ο Microsoft Edge αναβαθμίζει τον ενσωματωμένο Cloudflare VPN με 5 GB data
Η τεχνική δεν είναι εντελώς νέα. Τον Ιανουάριο του 2023, η Phylum ανέφερε ότι παράγοντες απειλών δημιούργησαν κακόβουλα πακέτα PyPI, τα οποία εκμεταλλεύονταν το Cloudflare Tunnels για να κλέψουν δεδομένα ή να αποκτήσουν απομακρυσμένη πρόσβαση σε συσκευές. Ωστόσο, φαίνεται ότι όλο και περισσότεροι παράγοντες απειλών έχουν ξεκινήσει να υιοθετούν αυτήν την τακτική, όπως ανέφεραν οι ομάδες DFIR και GRIT του GuidePoint την περασμένη εβδομάδα, παρατηρώντας αύξηση της δραστηριότητας.
Το CloudFlare Tunnels είναι μια δημοφιλής λειτουργία που παρέχεται από το Cloudflare και επιτρέπει στους χρήστες να δημιουργούν ασφαλείς, μόνο εξερχόμενες συνδέσεις στο δίκτυο του Cloudflare για διακομιστές ιστού ή εφαρμογές.
Οι χρήστες μπορούν να δημιουργήσουν ένα Tunnel απλά εγκαθιστώντας έναν από τους διαθέσιμους cloudflared clients για τα λειτουργικά συστήματα Linux, Windows, macOS και Docker. Αυτό επιτρέπει τη διεύρυνση της λειτουργικότητας και ενισχύει την ευκολία χρήσης. Από εκεί και πέρα, η υπηρεσία δίνεται στη διάθεση του χρήστη μέσω του Διαδικτύου, με τη χρήση ενός κεντρικού υπολογιστή που καθορίζεται από τον χρήστη. Αυτός ο υπολογιστής φιλοξενεί νόμιμα σενάρια χρήσης, όπως κοινή χρήση πόρων, δοκιμές και άλλες λειτουργίες.
Τα CloudFlare Tunnels παρέχουν μια πληθώρα δυνατοτήτων, όπως στοιχεία ελέγχου πρόσβασης, διαμορφώσεις πύλης, διαχείριση ομάδας και αναλυτικά στοιχεία χρηστών, προσφέροντας στους χρήστες έναν υψηλό βαθμό ελέγχου εντός του Tunnel και στις εκτεθειμένες σε κίνδυνο υπηρεσίες.
Δείτε ακόμα: Τράπεζα Θεμάτων: Γιατί δεν αναγράφεται στο Cloudflare Radar η μεγάλη DDoS επίθεση;
Στην έκθεση του GuidePoint, οι ερευνητές αναφέρουν ότι το CloudFlare Tunnels καταχράται από περισσότερους hackers για κακόβουλους σκοπούς. Αυτοί οι σκοποί περιλαμβάνουν την απόκτηση μυστικής μόνιμης πρόσβασης στο δίκτυο του θύματος, την αποφυγή ανίχνευσης και τη διείσδυση σε δεδομένα παραβιασμένων συσκευών.
Μόνο μια εντολή από τη συσκευή του θύματος αρκεί για να ρυθμίσει το διακριτικό κανάλι επικοινωνίας του εισβολέα, αποκαλύπτοντας μόνο το μοναδικό διακριτικό Tunnel. Παράλληλα, ο εισβολέας μπορεί να επηρεάσει τη διαμόρφωση ενός Tunnel, να την απενεργοποιήσει και να την ενεργοποιήσει ανάλογα με τις ανάγκες, σε πραγματικό χρόνο. Δεδομένου ότι η σύνδεση HTTPS και η ανταλλαγή δεδομένων λαμβάνουν χώρα μέσω του πρωτοκόλλου QUIC στη θύρα 7844, είναι απίθανο για τα τείχη προστασίας ή άλλες λύσεις προστασίας δικτύου να ανιχνεύσουν αυτήν τη διαδικασία, εκτός εάν έχουν ρυθμιστεί ειδικά για αυτόν τον σκοπό.
Επιπλέον, αν ο εισβολέας επιθυμεί να είναι ακόμα πιο αόρατος, μπορεί να εκμεταλλευτεί τη δυνατότητα “TryCloudflare” της υπηρεσίας Cloudflare, η οποία επιτρέπει στους χρήστες να δημιουργούν Tunnel μία φορά, χωρίς να απαιτείται η δημιουργία λογαριασμού.
Για να επιδεινωθούν τα πράγματα, σύμφωνα με το GuidePoint, μπορεί επίσης να γίνει κατάχρηση της δυνατότητας των “Ιδιωτικών Δικτύων” της Cloudflare, επιτρέποντας σε έναν εισβολέα που έχει δημιουργήσει ένα Tunnel σε μια συσκευή πελάτη (θύμα) να αποκτήσει απομακρυσμένη πρόσβαση σε μια ολόκληρη σειρά εσωτερικών διευθύνσεων IP.
Για τον εντοπισμό μη εξουσιοδοτημένης χρήσης των Cloudflare Tunnels, ο οργανισμός GuidePoint συνιστά στους οργανισμούς να παρακολουθούν ειδικά ερωτήματα DNS (που αναφέρονται στην αναφορά) και να χρησιμοποιούν μη τυπικές θύρες, όπως για παράδειγμα τη θύρα 7844.
Δείτε επίσης: Ανακοίνωση στρατηγικής συνεργασίας Trust-IT LTD και Cloudflare Inc.
Επιπλέον, καθώς το Cloudflare Tunnel απαιτεί την εγκατάσταση του προγράμματος-πελάτη ‘cloudflare’, οι υπερασπιστές μπορούν να ανιχνεύσουν τη χρήση του παρακολουθώντας αρχεία που σχετίζονται με τις εκδόσεις των πελατών μέσω των κατακερματισμών τους.
Παρά τα προβλήματα που προκαλούνται από την κατάχρηση των Cloudflare Tunnels από χάκερ, παραμένουν ένα αναπόσπαστο εργαλείο για πολλές επιχειρήσεις και οργανισμούς. Τα Cloudflare Tunnels παρέχουν έναν ασφαλή και αποδοτικό τρόπο για την δημιουργία κατανεμημένων δικτύων, αρκεί να υπάρχει επαρκής διαχείριση και παρακολούθηση για την αποτροπή ενδεχόμενης κακόβουλης χρήσης. Οι χρήστες συνιστούνται να παραμένουν συνεχώς ενημερωμένοι για τις τελευταίες εξελίξεις στην ασφάλεια και να χρησιμοποιούν εργαλεία προστασίας όπως τα τείχη προστασίας και τα συστήματα ανίχνευσης εισβολών για την αντιμετώπιση των πιθανών απειλών.
