Cloudflare Web应用防火墙(WAF)近期被曝存在一个高危0Day漏洞,攻击者可以利用此漏洞绕过安全控制措施,通过特定的证书验证路径直接访问受保护的主机服务器。这一发现对依赖Cloudflare进行防护的网站构成了严重威胁。
FearsOff安全研究人员发现,针对 /.well-known/acme-challenge/ 目录的请求能够直达主机服务器,即使客户配置的WAF规则已明确拦截所有其他流量。这究竟是如何实现的呢?
自动证书管理环境(ACME)协议通过要求证书颁发机构(CA)验证域名所有权来自动完成SSL/TLS证书验证。在HTTP-01验证方法中,CA会要求网站在 /.well-known/acme-challenge/{token} 路径下提供一次性令牌。这个路径几乎存在于所有现代网站中,作为自动化证书颁发的静默维护通道。其设计初衷是将访问权限严格限制在单个验证机器人检查特定文件,而非作为通往主机服务器的开放网关。然而,一个逻辑错误让这个安全后门被意外打开了。
Cloudflare 0Day漏洞分析
FearsOff研究人员在审查WAF配置——即拦截全局访问、仅允许特定来源的应用时,意外发现了该漏洞。测试表明,针对ACME挑战路径的请求会完全绕过WAF规则,使主机服务器直接响应,而不是返回Cloudflare的拦截页面。
为了确认这不是某个租户特有的配置错误,研究人员专门创建了多个受控演示主机进行验证,例如 cf-php.fearsoff.org、cf-spring.fearsoff.org 和 cf-nextjs.fearsoff.org。对这些主机的正常请求如预期般遭遇拦截页面,但ACME路径请求却直接返回了主机服务器自身生成的响应,通常是框架的404错误页面。
该漏洞根源于Cloudflare边缘网络对ACME HTTP-01挑战路径的处理逻辑。当Cloudflare为其托管的证书订单提供挑战令牌时,系统会临时禁用WAF功能,以防止干扰CA的验证流程。然而,这里存在一个关键的设计缺陷:如果请求的令牌与Cloudflare托管的任何有效证书订单都不匹配,该请求依然会完全绕过WAF评估,被直接转发至客户的主机服务器。这一逻辑错误将原本仅限于证书验证的例外,变成了一个影响所有Cloudflare防护主机的广泛安全绕过路径。
攻击向量与影响范围
研究人员利用该绕过漏洞,展示了针对几种常见Web框架的潜在攻击方式,这足以引起所有运维人员的警惕:
- 在Spring/Tomcat应用中,攻击者可通过
..;/ 进行servlet路径遍历,访问可能暴露进程环境变量、数据库凭证、API令牌和云服务密钥的敏感执行器端点。
- Next.js服务端渲染应用可能通过直接的主机响应泄露运营数据,而这些数据本不应被公开访问。
- 对于存在本地文件包含(LFI)漏洞的PHP应用,攻击者可通过构造恶意的路径参数,利用此通道访问服务器文件系统。
除了针对特定框架的攻击外,更令人担忧的是,那些基于自定义标头来拦截请求的账户级WAF规则,对于流经ACME路径的流量也完全失效。这意味着攻击者可以无视这些精心配置的规则,直接与后端主机服务器通信。
漏洞修复时间线
FearsOff团队于2025年10月9日通过Cloudflare的HackerOne漏洞赏金计划报告了该漏洞。Cloudflare安全团队反应迅速,于10月13日启动验证流程,HackerOne平台也在次日完成了问题分类。
最终,Cloudflare于10月27日部署了永久性修复方案。修复的核心在于修改代码逻辑,使其仅在请求精确匹配特定主机名的有效ACME HTTP-01挑战令牌时,才临时禁用相关安全功能。
修复后的测试证实,WAF规则现在已统一适用于所有访问路径,包括先前存在漏洞的ACME挑战路由。Cloudflare官方表示,客户无需采取任何额外措施,并确认截至目前,尚未发现该漏洞在修复前被恶意利用的证据。对于关注此类Web应用防火墙动态的开发者,可以持续在云栈社区的技术安全板块获取最新的分析与讨论。
参考来源:
Cloudflare Zero-Day Vulnerability Enables Any Host Access Bypassing Protections
https://cybersecuritynews.com/cloudflare-zero-day-vulnerability/ | 
发表于 12 小时前
|
查看: 0|
回复: 0
