Clicky

Investigador revela nuevas técnicas para evitar el firewall y la protección DDoS de Cloudflare

ataque en Cloudflare

Es el resultado de la infraestructura compartida disponible dentro de Cloudflare

Se ha descubierto que los mecanismos de prevención de ataques de firewall y de denegación de servicio distribuido (DDoS) en Cloudflare se pueden eludir explotando las brechas en los controles de seguridad entre inquilinos, frustrando el propósito mismo de estas salvaguardas.

"Los atacantes pueden utilizar sus propias cuentas de Cloudflare para abusar de la relación de confianza por diseño entre Cloudflare y los sitios web de los clientes, haciendo que el mecanismo de protección sea ineficaz", dijo el investigador de Certitude Stefan Proksch en un informe publicado la semana pasada.

El problema, según la consultora austriaca, es el resultado de la infraestructura compartida disponible para todos los inquilinos dentro de Cloudflare, independientemente de si son legítimos o no, lo que facilita que los actores maliciosos abusen de la confianza implícita asociada con el servicio y venzan las barreras de seguridad.

El primer problema surge de optar por un certificado compartido de Cloudflare para autenticar las solicitudes HTTP(S) entre los servidores proxy inversos del servicio y el servidor de origen del cliente como parte de una función llamada Authenticated Origin Pulls.

Como su nombre lo indica, Authenticated Origin Pulls garantiza que las solicitudes enviadas al servidor de origen para recuperar contenido cuando no está disponible en el caché se originen en Cloudflare y no en un actor de amenazas.

Una consecuencia de tal configuración es que un atacante con una cuenta de Cloudflare puede enviar su carga maliciosa a través de la plataforma aprovechando el hecho de que están permitidas todas las conexiones que se originan en Cloudflare, incluso si el inquilino que inicia la conexión es nefasto.

"Un atacante puede configurar un dominio personalizado con Cloudflare y apuntar el registro DNS A a la dirección IP de [una] víctima", explicó Proksch.

"Luego, el atacante desactiva todas las funciones de protección para ese dominio personalizado en su inquilino y canaliza sus ataques a través de la infraestructura de Cloudflare. Este enfoque permite a los atacantes eludir las funciones de protección de la víctima".

El segundo problema implica el abuso de incluir direcciones IP de Cloudflare en la lista blanca, lo que impide que el servidor de origen reciba tráfico de direcciones IP de visitantes individuales y lo limita a direcciones IP de Cloudflare, para transmitir entradas no autorizadas y apuntar a otros usuarios de la plataforma.

Tras la divulgación responsable el 16 de marzo de 2023, Cloudflare reconoció los hallazgos como informativos y agregó una nueva advertencia en su documentación.

"Tenga en cuenta que el certificado que Cloudflare le proporciona para configurar las extracciones de origen autenticado no es exclusivo de su cuenta, solo garantiza que una solicitud proviene de la red de Cloudflare", afirma ahora explícitamente Cloudflare.

"Para una seguridad más estricta, debe configurar extracciones de origen autenticado con su propio certificado y considerar otras medidas de seguridad para su origen".

"El mecanismo 'Listar direcciones IP permitidas de Cloudflare' debe considerarse como una defensa en profundidad y no ser el único mecanismo para proteger los servidores de origen", dijo Proksch. "El mecanismo 'Extracción de origen autenticado' debe configurarse con certificados personalizados en lugar del certificado de Cloudflare".

Certitude también descubrió anteriormente que es posible que los atacantes aprovechen los registros DNS "colgantes" para secuestrar subdominios que pertenecen a más de 1.000 organizaciones que abarcan gobiernos, medios de comunicación, partidos políticos y universidades, y probablemente los utilicen para la distribución de malware, campañas de desinformación y ataques de phishing.

"En la mayoría de los casos, el secuestro de subdominios podría prevenirse eficazmente mediante los servicios en la nube mediante la verificación de la propiedad del dominio y no liberando inmediatamente los identificadores utilizados previamente para el registro", señaló el investigador de seguridad Florian Schweitzer.

Jesus_Caceres