Vulnerabilidade zero-day en Cloudflare que permite o acceso directo a servidores de orixe evitando as proteccións

cloudflare
Empresas
Administración Pública
Vulnerabilidades
Nivel de alerta
Crítico

Detectouse unha vulnerabilidade crítica de día cero (zero-day) no servizo Web Application Firewall (WAF) de Cloudflare que permitía a atacantes evitar os controis de seguridade configurados e acceder directamente aos servidores de orixe protexidos.

O fallo estaba relacionado co proceso de validación de certificados, permitindo que determinadas solicitudes alcanzasen o servidor de orixe incluso cando as regras do WAF bloqueaban explicitamente todo o tráfico restante.

Esta vulnerabilidade foi identificada durante revisións de seguridade en contornas nas que o acceso global estaba restrinxido e só se permitían fontes específicas, demostrando que o illamento non era efectivo en determinados escenarios.

Sistemas e servizos afectados

A vulnerabilidade afecta a infraestruturas que:

  • Utilizan Cloudflare como proxy inverso e WAF
  • Confían no WAF como única barreira de protección fronte ao acceso directo ao servidor de orixe
  • Empregan validacións de certificados a través de rutas estándar
  • En particular, víronse implicadas solicitudes dirixidas ao camiño:
    /.well-known/acme-challenge/


Impacto potencial

  • Acceso non autorizado a servidores de orixe
  • Evitación completa das regras do WAF configuradas polo cliente
  • Exposición de servizos internos que se consideraban inaccesibles desde Internet
  • Incremento do risco de explotación directa de aplicacións web e servizos backend


Este tipo de vulnerabilidade resulta especialmente grave en contornas que confían exclusivamente en Cloudflare para a protección perimetral.

Medidas recomendadas

Recoméndase ás administracións públicas, empresas e provedores de servizos:

  1. Verificar que todas as correccións e mitigacións publicadas por Cloudflare foron aplicadas correctamente.
  2. Revisar as configuracións do WAF e as políticas de acceso aos servidores de orixe.
  3. Restringir o acceso directo aos servidores de orixe mediante filtrado por IP, redes privadas ou mecanismos adicionais de autenticación.
  4. Non depender exclusivamente do WAF como única medida de protección perimetral.
  5. Monitorizar rexistros de acceso para detectar solicitudes anómalas dirixidas a rutas de validación de certificados.


Información adicional

  • A vulnerabilidade foi clasificada como crítica debido á posibilidade de evitar controis de seguridade fundamentais.
  • Non se fixo pública ningunha proba de concepto no momento da publicación.
  • Cloudflare confirmou o problema e aplicou correccións para mitigar o risco.