Una vulnerabilidad Zero-Day crítica en el firewall de aplicaciones web (WAF)
de Cloudflare
permitía
(fue solucionado en octubre pasado) a los atacantes eludir los controles de
seguridad y acceder directamente a servidores de origen protegidos a través de
una ruta de validación de certificados.
Investigadores de seguridad de
FearsOff descubrieron
que las solicitudes dirigidas al directorio
/.well-known/acme-challenge/ podían alcanzar los orígenes incluso
cuando las reglas del WAF configuradas por el cliente bloqueaban
explícitamente el resto del tráfico.
El protocolo
ACME
(Automatic Certificate Management Environment) automatiza la validación
de certificados SSL/TLS al exigir a las autoridades de certificación (CA) que
verifiquen la propiedad del dominio. ACME es un protocolo de comunicaciones (RFC 8555) que facilita la emisión, renovación y revocación automáticas de certificados SSL/TLS. Cada certificado proporcionado a un sitio web por una autoridad de certificación (CA) se valida mediante desafíos para demostrar la propiedad del dominio.
El servidor de la CA realiza una solicitud HTTP GET a una URL exacta para recuperar el archivo. Una vez verificada, se emite el certificado y la CA marca la cuenta ACME (es decir, la entidad registrada en su servidor) como autorizada para administrar ese dominio específico.
Si el desafío se realiza mediante una orden de certificado administrada por Cloudflare, Cloudflare responderá por la ruta mencionada y proporcionará el token proporcionado por la CA al solicitante. Sin embargo, si no se corresponde con una orden administrada por Cloudflare, la solicitud se enruta al origen del cliente, que podría estar utilizando un sistema diferente para la validación del dominio.
En el método de validación
HTTP-01 (o DNS-01), las CA esperan que los sitios web proporcionen un token de un solo
uso en /.well-known/acme-challenge/{token}. Esta ruta existe en casi
todos los sitios web modernos como una ruta de mantenimiento silenciosa para
la emisión automatizada de certificados.
El diseño limita este acceso a un único bot de validación que revisa un
archivo específico, no como una puerta de enlace abierta al servidor de
origen.
Vulnerabilidad de día cero en Cloudflare
La vulnerabilidad, descubierta y reportada por FearsOff en octubre de 2025, se relaciona con una implementación defectuosa del proceso de validación ACME que provoca que ciertas solicitudes de desafío a la URL deshabiliten las reglas del firewall de aplicaciones web (WAF) y le permitan acceder al servidor de origen cuando, idealmente, debería haber sido bloqueada.
En otras palabras, la lógica no podía verificar si el token en la solicitud coincidía realmente con un desafío activo para ese nombre de host específico, lo que permitía a un atacante enviar solicitudes arbitrarias a la ruta ACME, eludir por completo las protecciones del WAF, y acceder al servidor de origen.
Las pruebas revelaron que las solicitudes dirigidas a la ruta de desafío ACME
eludían por completo las reglas del WAF, lo que permitía al servidor de origen
responder directamente en lugar de devolver la página de bloqueo de
Cloudflare.
Para confirmar que no se trataba de una configuración incorrecta específica
del inquilino, los investigadores crearon hosts de demostración controlados
por ellos. Las solicitudes normales a estos hosts encontraron páginas de
bloqueo como se esperaba, pero las solicitudes de la ruta ACME devolvieron
respuestas generadas por el origen, generalmente errores 404 del
framework.
La vulnerabilidad se originaba en la lógica de procesamiento de la red
perimetral de Cloudflare para las rutas de desafío ACME HTTP-01. Cuando
Cloudflare proporcionaba tokens de desafío para sus propios pedidos de
certificados administrados, el sistema desactivaba las funciones del WAF para
evitar interferencias con la validación de la CA.
Una falla crítica: si el token solicitado no
coincidía con un pedido de certificado administrado por Cloudflare, la
solicitud omitía por completo la evaluación del WAF y se dirigía directamente
al origen del cliente. Este error lógico transformaba una excepción de
validación de certificado limitada en una omisión de seguridad amplia que
afectaba a todos los hosts protegidos por Cloudflare.
Esta omisión permitió a los investigadores demostrar múltiples vectores de
ataque contra frameworks web comunes. En aplicaciones Spring/Tomcat,
las técnicas de cruce de rutas de servlets mediante ..;/ accedieron a
puntos finales sensibles de actuadores que expusieron entornos de proceso,
credenciales de base de datos, tokens de API y claves de nube.
Las aplicaciones de renderizado del lado del servidor de Next.js filtraron
datos operativos a través de respuestas directas al origen que nunca
estuvieron destinadas al acceso público a internet.
Las aplicaciones PHP con vulnerabilidades de inclusión de archivos locales se
volvieron explotables, lo que permitió a los atacantes acceder al sistema de
archivos mediante parámetros de ruta maliciosos. Más allá de los ataques
específicos del framework, las reglas del WAF a nivel de cuenta configuradas
para bloquear solicitudes basadas en encabezados personalizados se ignoraron
por completo para el tráfico de rutas ACME.
FearsOff reportó la vulnerabilidad a través del programa de recompensas por
errores HackerOne de Cloudflare el 9 de octubre de 2025. Cloudflare inició la
validación el 13 de octubre de 2025 y HackerOne evaluó el problema el 14 de
octubre de 2025.
La compañía implementó una solución permanente el 27 de octubre de 2025,
modificando el código para deshabilitar las funciones de seguridad solo
cuando las solicitudes coincidan con tokens de desafío ACME HTTP-01 válidos
para el nombre de host específico.
Las pruebas posteriores a la solución confirmaron que las reglas del WAF ahora
se aplican uniformemente en todas las rutas, incluida la ruta de desafío ACME,
anteriormente vulnerable. Cloudflare declaró que no se requiere ninguna acción
por parte del cliente y confirmó que no se ha encontrado evidencia de
explotación maliciosa.
Fuente:
CyberSecurityNews