Giriş
Cloudflare, Automatic Certificate Management Environment (ACME) doğrulama mantığında bulunan bir güvenlik açığını kapattı. Bu açık, güvenlik kontrollerinin atlatılmasına ve origin sunuculara erişim sağlanmasına olanak tanıyordu.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, Cloudflare’ın kenar ağının ACME HTTP-01 zorluk yoluna (/.well-known/acme-challenge/*) gelen istekleri işleme şekliyle ilişkilidir. Güvenlik açığı, doğrulama işlemlerini etkisiz hale getirerek, saldırganların sistemdeki web uygulama güvenlik duvarı (WAF) kurallarını atlatmasına neden oluyordu.
FearsOff tarafından Ekim 2025’te bildirilen bu açık, bazı zorluk isteklerinin doğrudan orijinal sunucuya ulaşmasını sağlıyordu. Bu durum, yetkisiz kullanıcıların belirtilen yola rasgele istekler göndermesine ve WAF korumalarını tamamen devre dışı bırakmasına yol açıyordu.
Etkilenen Sistemler
Güvenlik açığı, sertifika otoriteleri (CA) tarafından sağlanan SSL/TLS sertifikalarının otomatik olarak verilmesini, yenilenmesini ve iptal edilmesini kolaylaştıran ACME protokolünü etkileyen sistemler arasında yer alıyor. İlgili tüm web siteleri, bu protokol aracılığıyla CVE-2025-XXXX gibi potansiyel zayıflık içerebilir.
Çözüm ve Korunma
Cloudflare, bu açığı 27 Ekim 2025 tarihinde düzeltti. Yapılan değişiklik ile birlikte, yalnızca geçerli bir ACME HTTP-01 zorluk token’ı için istekler eşleştiğinde WAF özelliklerinin devre dışı bırakılması sağlandı. Kullanıcıların bu tür durumlarla karşılaşmaması için aşağıdaki adımları atması önemlidir:
- Cloudflare ile yönetilen tüm sertifika siparişlerini kontrol edin.
- Güncellemeleri düzenli olarak takip edin ve uygulayın.
- Gerekirse güvenlik yapılandırmalarınızı gözden geçirin ve güncel tutun.
- WAF kurallarınızı gözden geçirin ve gerekli ayarlamaları yapın.
Sonuç
Okuyucuların, Cloudflare üzerinde barındırılan sitelerinin güvenliğini sağlamak için hemen güncellemeleri ve port kapatma işlemlerini gerçekleştirmeleri gerekmektedir. İlgili güvenlik önlemlerini almak, olası bir saldırının önünü kesmek için kritik öneme sahiptir.
