Cloudflare-kwetsbaarheid maakte elke host toegankelijk

In dit artikel:

Onderzoekers van FearsOff ontdekten een ernstige omzeiling van Cloudflare’s Web Application Firewall (WAF) via het ACME-veld voor certificaatvalidatie: aanvragen naar /.well-known/acme-challenge/ werden soms ongehinderd doorgelaten naar origin-servers. Cloudflare had die route tijdelijk versoepeld zodat automatische TLS/SSL-validatie (ACME HTTP-01 challenges) soepel verliep, maar door een programmeerfout werden verzoeken zonder overeenkomende challenge-token niet door de WAF geëvalueerd en rechtstreeks naar de klantserver gestuurd.

Dat maakte grootschalige blootstelling mogelijk: onderzoekers toonden aan dat aanvallers via deze route gevoelige gegevens konden buitmaken — van database-credentials en API-keys tot cloud-tokens — en dat kwetsbaarheden zoals PHP local file inclusion eenvoudig te misbruiken waren. FearsOff zette demonstratiehosts op (onder meer cf-php.fearsoff.org) om aan te tonen dat reguliere verzoeken geblokkeerd werden, terwijl ACME-path-requests antwoorden van de origin terugleverden.

FearsOff rapporteerde het probleem op 9 oktober via Cloudflare’s HackerOne-programma. Cloudflare startte validatie op 13 oktober, HackerOne triage volgde op 14 oktober, en op 27 oktober voerde Cloudflare een codewijziging door: WAF-uitschakeling gebeurt nu alleen wanneer een request exact overeenkomt met een geldige ACME HTTP-01 token voor de betreffende hostname. Nader tests bevestigen dat WAF-regels inmiddels consistent van toepassing zijn op alle paden. Cloudflare geeft aan dat klanten geen actie hoeven te ondernemen en dat er geen bewijs is gevonden van exploitatie in het wild.