Το τείχος προστασίας και η πρόληψη DDoS του Cloudflare μπορούν να παρακαμφθούν μέσω μιας συγκεκριμένης μεθόδου επίθεσης, η οποία εκμεταλλεύεται ελαττώματα στους ελέγχους ασφάλειας cross-tenant.
Δείτε επίσης: Cloudflare Tunnels: Καταχρώνται όλο και περισσότερο από hackers
Αυτή η παράλειψη μπορεί να επιφέρει σημαντικές επιπτώσεις για τους πελάτες της Cloudflare, μειώνοντας την αποτελεσματικότητα των συστημάτων προστασίας της εταιρείας στο διαδίκτυο. Για να γίνουν τα πράγματα ακόμα χειρότερα, η επίθεση χρειάζεται απλά οι χάκερ να δημιουργήσουν έναν δωρεάν λογαριασμό Cloudflare και να τον χρησιμοποιήσουν ως μέρος της επίθεσής τους. Παρ’ όλα αυτά, αξίζει να σημειώσουμε ότι οι εισβολείς πρέπει να γνωρίζουν την IP διεύθυνση του στοχευμένου διακομιστή ιστού, προκειμένου να εκμεταλλευτούν τις παραπάνω ευπάθειες.
Cloudflare vs Cloudflare
Ο ερευνητής του Certitude, Stefan Proksch, ανακάλυψε ότι η πηγή του προβλήματος είναι η στρατηγική της Cloudflare να χρησιμοποιεί μια κοινόχρηστη υποδομή που δέχεται συνδέσεις από όλους τους χρήστες. Συγκεκριμένα, ο αναλυτής εντόπισε δύο ευάλωτα σημεία στο σύστημα, που επηρεάζουν τις “Authenticated Origin Pulls” και τις “Allowlist Cloudflare IP Addresses” του Cloudflare.
Η δυνατότητα των Authenticated Origin Pulls είναι μια ασφαλής λειτουργία που παρέχεται από το Cloudflare για να εξασφαλίσει ότι τα αιτήματα HTTP που στέλνονται σε έναν διακομιστή προέλευσης προέρχονται αποκλειστικά μέσω του Cloudflare και δεν προέρχονται από κακόβουλες πηγές.
Οι πελάτες έχουν τη δυνατότητα να ανεβάζουν τα δικά τους πιστοποιητικά χρησιμοποιώντας ένα API ή να δημιουργούν ένα νέο πιστοποιητικό μέσω του Cloudflare, της προεπιλεγμένης και πιο εύκολης μεθόδου. Αφού ρυθμιστεί, το Cloudflare χρησιμοποιεί πιστοποιητικό SSL/TLS για να επαληθεύει την ταυτότητα των αιτημάτων HTTP(S) μεταξύ των αντίστροφων διακομιστών μεσολάβησης της υπηρεσίας και του διακομιστή προέλευσης του πελάτη, προλαμβάνοντας μη εξουσιοδοτημένα αιτήματα που αποβλέπουν στην πρόσβαση στον ιστότοπο.
Ωστόσο, όπως εξηγεί ο Proksch, οι εισβολείς μπορούν να παρακάμψουν αυτήν την προστασία. Αυτό συμβαίνει επειδή το Cloudflare χρησιμοποιεί ένα κοινό πιστοποιητικό για όλους τους πελάτες του, αντί να χρησιμοποιεί ένα πιστοποιητικό που είναι αποκλειστικά για τον κάθε ενοικιαστή. Αυτό έχει ως αποτέλεσμα να επιτρέπονται όλες οι συνδέσεις που προέρχονται από το Cloudflare.
Δείτε ακόμα: Ο Microsoft Edge αναβαθμίζει τον ενσωματωμένο Cloudflare VPN με 5 GB data
Το πρόβλημα που προκύπτει από αυτό, είναι ότι οι εισβολείς με λογαριασμό στο Cloudflare μπορούν να κατευθύνουν κακόβουλη κίνηση προς άλλους πελάτες της εταιρείας ή να δρομολογήσουν τις επιθέσεις τους μέσω της υποδομής της εταιρείας. Ο Proksch υποστηρίζει ότι η μόνη λύση για να αντιμετωπιστεί αυτή η αδυναμία είναι να χρησιμοποιηθούν εξατομικευμένα πιστοποιητικά αντί για ένα που δημιουργείται από το Cloudflare.
Το δεύτερο ζήτημα επηρεάζει τις διευθύνσεις IP που περιλαμβάνονται στο Cloudflare Allowlist, το οποίο είναι ένα μέτρο ασφαλείας που επιτρέπει μόνο στην κυκλοφορία που προέρχεται από το εύρος διευθύνσεων IP του Cloudflare να έχει πρόσβαση στους διακομιστές προέλευσης των πελατών. Και εδώ, ένας εισβολέας μπορεί να εκμεταλλευτεί μια ευπάθεια, δημιουργώντας έναν τομέα με τη χρήση του Cloudflare και αποκαλύπτοντας την εγγραφή DNS A του τομέα του, δείχνοντας την IP διεύθυνση του διακομιστή του θύματος-στόχου. Στη συνέχεια, απενεργοποιούνται όλες οι λειτουργίες προστασίας για τον προσαρμοσμένο τομέα και δρομολογείται η κακόβουλη κυκλοφορία μέσω της υποδομής του Cloudflare. Η υποδομή αυτή θεωρείται αξιόπιστη από την πλευρά του θύματος και επομένως, επιτρέπεται.
Ο Proksch παρουσίασε επίσης, ένα PoC με λεπτομερείς πληροφορίες για τη διαμόρφωση, προκειμένου να αποδείξει πόσο εύκολο είναι να παρακάμψετε τις προστασίες της Cloudflare, εκμεταλλευόμενοι τα ελαττώματά τους.
Η Certitude προτείνει τα ακόλουθα αμυντικά μέτρα έναντι αυτών των επιθέσεων:
- Χρησιμοποιήστε ένα προσαρμοσμένο πιστοποιητικό για να διαμορφώσετε τον μηχανισμό “Authenticated Origin Pulls” αντί για το κοινόχρηστο πιστοποιητικό του Cloudflare.
- Χρησιμοποιήστε το Cloudflare Aegis (εάν υπάρχει) για να ορίσετε ένα πιο συγκεκριμένο εύρος διευθύνσεων IP εξόδου που είναι αφιερωμένο σε κάθε πελάτη.
Δείτε επίσης: Τράπεζα Θεμάτων: Γιατί δεν αναγράφεται στο Cloudflare Radar η μεγάλη DDoS επίθεση;
Οι ερευνητές Florian Schweitzer και Stefan Proksch, οι οποίοι ανακάλυψαν τα ελαττώματα, το ανέφεραν στο Cloudflare μέσω HackerOne στις 16 Μαρτίου 2023, αλλά το θέμα έκλεισε ως “ενημερωτικό”.
Η επίθεση DDoS (Distributed Denial of Service) είναι μια πιο σύνθετη εκδοχή της επίθεσης DoS, όπου πολλαπλές μηχανές χρησιμοποιούνται για να εκτελέσουν μια επίθεση ενάντια σε μια συγκεκριμένη ιστοσελίδα ή διακομιστή. Ο στόχος είναι να καταναλώσουν όλους τους διαθέσιμους πόρους του διακομιστή, ώστε να μην μπορεί πλέον να εξυπηρετήσει τους έγκυρους χρήστες του. Τα προβλήματα που αναφέρονται με την προστασία DDoS της Cloudflare, όπως περιγράφονται παραπάνω, καθιστούν τις ιστοσελίδες και τους διακομιστές που χρησιμοποιούν αυτήν την υπηρεσία, ευάλωτα σε τέτοιες επιθέσεις.
