Vulnerabilidad zero-day en Cloudflare que permite el acceso directo a servidores de origen evitando las protecciones

cloudflare
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Crítico

El fallo estaba relacionado con el proceso de validación de certificados, permitiendo que determinadas solicitudes alcanzasen el servidor de origen incluso cuando las reglas del WAF bloqueaban explícitamente todo el resto del tráfico.

Esta vulnerabilidad fue identificada durante revisiones de seguridad en entornos donde el acceso global estaba restringido y solo se permitían fuentes específicas, demostrando que el aislamiento no era efectivo en determinados escenarios.

Sistemas y servicios afectados

La vulnerabilidad afecta a infraestructuras que:

  • Utilizan Cloudflare como proxy inverso y WAF
  • Confían en el WAF como única barrera de protección frente al acceso directo al servidor de origen
  • Emplean validaciones de certificados a través de rutas estándar
  • En particular, se vieron implicadas solicitudes dirigidas a la ruta:
    /.well-known/acme-challenge/


Impacto potencial

  • Acceso no autorizado a servidores de origen
  • Elusión completa de las reglas del WAF configuradas por el cliente
  • Exposición de servicios internos que se consideraban inaccesibles desde Internet
  • Incremento del riesgo de explotación directa de aplicaciones web y servicios backend


Este tipo de vulnerabilidad resulta especialmente grave en entornos que confían exclusivamente en Cloudflare para la protección perimetral.

Medidas recomendadas

Se recomienda a administraciones públicas, empresas y proveedores de servicios:

  1. Verificar que todas las correcciones y mitigaciones publicadas por Cloudflare han sido aplicadas correctamente.
  2. Revisar las configuraciones del WAF y las políticas de acceso a los servidores de origen.
  3. Restringir el acceso directo a los servidores de origen mediante filtrado por IP, redes privadas o mecanismos adicionales de autenticación.
  4. No depender exclusivamente del WAF como única medida de protección perimetral.
  5. Monitorizar los registros de acceso para detectar solicitudes anómalas dirigidas a rutas de validación de certificados.


Información adicional

  • La vulnerabilidad ha sido clasificada como crítica debido a la posibilidad de eludir controles de seguridad fundamentales.
  • No se ha hecho pública ninguna prueba de concepto en el momento de la publicación.
  • Cloudflare ha confirmado el problema y ha aplicado correcciones para mitigar el riesgo.