Cloudflare安全保护可以通过极其简单的方式绕过
专家声称,Cloudflare的防火墙和DDoS防护工具带有两个令人担忧的漏洞,这些漏洞允许威胁行为者按照自己的方式发送恶意流量,或使用其服务器将恶意流量重新路由到其他地方。
据Certitude研究员StefanProksch称,这些漏洞可以在Cloudflare的经过身份验证的OriginPull和白名单CloudflareIP地址中找到。
前者是一种安全工具,可确保发送到源服务器的HTTPS请求通过Cloudflare,而不是来自第三方。另一方面,Cloudflare的白名单CloudflareIP地址是一项安全功能,可确保只有来自CloudflareIP地址的流量才能到达客户端的源服务器。
这些漏洞利用了跨租户安全控制中的逻辑缺陷,这是由于Cloudflare使用接受所有租户连接的共享基础设施而造成的。要利用这些缺陷,威胁行为者所需要的只是了解目标Web服务器的IP地址和免费的Cloudflare攻击。正如研究人员所解释的,在配置AuthenticatedOriginPulls功能时,用户默认通过Cloudflare生成证书。或者,他们可以使用API上传自己的内容。
现在,鉴于Cloudflare对所有客户使用共享证书,所有源自Cloudflare的连接都是公平的游戏:“攻击者可以使用Cloudflare设置自定义域,并将DNSA记录指向受害者的IP地址,”Proksch说。“然后,攻击者禁用其租户中该自定义域的所有保护功能,并通过Cloudflare基础设施进行攻击。”
“这种方法允许攻击者绕过受害者的保护功能。”
为了缓解此问题,用户应使用自定义证书。
至于白名单CloudflareIP地址工具,如果攻击者创建Cloudflare帐户并将其域的DNSA记录指向受害者服务器的IP地址,并关闭自定义域的所有保护功能,他们就可以通过Cloudflare的基础设施路由恶意流量。从受害者的角度来看,这种流量将被视为合法。
研究人员建议,要定义专用于不同客户端的更具体的攻击IP地址范围,用户应使用CloudflareAegis。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。