近日,Cloudflare 的 Web应用防火墙(WAF)曝出一处关键零日漏洞,攻击者能够通过证书验证路径绕过其安全控制,直接访问受保护的源站服务器。该漏洞由安全研究团队 FearsOff 发现,目前已被 Cloudflare 紧急修复。
研究发现,当 HTTP 请求指向 /.well-known/acme-challenge/ 目录时,即便客户配置的 WAF 规则明确阻止了所有其他流量,该请求仍能抵达源站。这一路径在现代网站中普遍存在,主要用于自动化证书管理环境(ACME)协议执行 SSL/TLS 证书验证。其设计初衷仅限于证书颁发机构(CA)的验证机器人访问特定令牌文件,而非作为一条通往源站的开放通道。
FearsOff 团队在审查应用配置时注意到了这一异常行为。测试表明,针对 ACME 挑战路径的请求完全绕过了 WAF 规则,使得源站服务器直接响应请求,而不是返回 Cloudflare 的拦截页面。为排除租户配置错误的可能性,研究人员专门搭建了多个演示主机进行验证,最终确认该漏洞具有普遍性。
漏洞根源在于 Cloudflare 边缘网络处理 ACME HTTP-01 挑战路径的逻辑缺陷。 当 Cloudflare 为其自身管理的证书订单提供挑战令牌时,系统会禁用 WAF 功能以防止干扰 CA 验证流程。然而,当请求的令牌与 Cloudflare 管理的证书订单不匹配时,请求竟会完全跳过 WAF 评估,直接转发至客户源站。这一逻辑错误使得原本狭窄的证书验证例外情况,演变为一个影响所有受 Cloudflare 保护主机的广泛安全绕过漏洞。
利用此漏洞,攻击者可以针对常见的 Web 框架实施多种攻击。例如:
- 在 Spring/Tomcat 应用上,通过路径遍历技术可访问敏感的执行器端点,从而泄露进程环境、数据库凭证、API 令牌及云端密钥。
- Next.js 服务端渲染应用可能暴露本不应公开的运营数据。
- 存在本地文件包含漏洞的 PHP 应用则可能被恶意参数利用以访问文件系统。
此外,基于自定义头部设置的账户级 WAF 规则对 ACME 路径流量也完全失效。
FearsOff 于 2025 年 10 月 9 日通过 Cloudflare 的 HackerOne 漏洞赏金计划报告了该漏洞。Cloudflare 于 10 月 13 日启动验证,HackerOne 于次日完成分类。10 月 27 日,该公司部署了永久修复方案,修改了代码逻辑,确保仅当请求匹配特定主机名的有效 ACME HTTP-01 挑战令牌时才禁用安全功能。修复后的测试证实,WAF 规则现已对所有路径统一生效,包括先前存在漏洞的 ACME 挑战路径。Cloudflare 表示无需客户采取额外措施,并确认目前未发现漏洞遭恶意利用的证据。
资讯来源:securityonline.info
此类漏洞提醒我们,即使是像 Cloudflare 这样成熟的安全服务,其底层逻辑的微小疏漏也可能导致全局性的防护失效。对于开发者与运维人员而言,深入理解所使用的服务架构与安全边界至关重要。想了解更多前沿的网络安全资讯和技术解析,欢迎访问 云栈社区 进行交流探讨。
| 
发表于 10 小时前
|
查看: 0|
回复: 0
