Se ha descubierto que los mecanismos de prevención de ataques de firewall y de denegación de servicio distribuido (DDoS) en Cloudflare se pueden eludir explotando las brechas en los controles de seguridad entre inquilinos, frustrando el propósito mismo de estas salvaguardas.
“Los atacantes pueden utilizar sus propias cuentas de Cloudflare para abusar de la relación de confianza por diseño entre Cloudflare y los sitios web de los clientes, haciendo que el mecanismo de protección sea ineficaz”, afirma Stefan Proksch, investigador de Certitude. dicho en un informe publicado la semana pasada.
El problema, según la consultora austriaca, es el resultado de la infraestructura compartida disponible para todos los inquilinos dentro de Cloudflare, independientemente de si son legítimos o no, lo que facilita que los actores maliciosos abusen de la confianza implícita asociada con el servicio y venzan las barreras de seguridad. .
El primer problema surge de optar por un certificado compartido de Cloudflare para autenticar las solicitudes HTTP(S) entre los servidores proxy inversos del servicio y el servidor de origen del cliente como parte de una característica llamada Extracciones de origen autenticado.
Como su nombre lo indica, Authenticated Origin Pulls garantiza que las solicitudes enviadas al servidor de origen para recuperar contenido cuando no está disponible en el caché se originen desde Cloudflare y no desde un actor de amenazas.
Una consecuencia de tal configuración es que un atacante con una cuenta de Cloudflare puede enviar su carga maliciosa a través de la plataforma aprovechando el hecho de que todas las conexiones que se originan en Cloudflare están permitidas, incluso si el inquilino que inicia la conexión es nefasto.
“Un atacante puede configurar un dominio personalizado con Cloudflare y apuntar el registro DNS A a [a] dirección IP de la víctima”, explicó Proksch.
“Luego, el atacante desactiva todas las funciones de protección para ese dominio personalizado en su inquilino y canaliza sus ataques a través de la infraestructura de Cloudflare. Este enfoque permite a los atacantes eludir las funciones de protección de la víctima”.
El segundo problema implica el abuso de Lista de direcciones IP permitidas de Cloudflare – que impide que el servidor de origen reciba tráfico de direcciones IP de visitantes individuales y lo limita a direcciones IP de Cloudflare – para transmitir entradas no autorizadas y apuntar a otros usuarios en la plataforma.
Tras la divulgación responsable el 16 de marzo de 2023, Cloudflare reconoció los hallazgos como informativos y agregó una nueva advertencia en su documentación.
“Tenga en cuenta que el certificado que Cloudflare le proporciona para configurar las extracciones de origen autenticado no es exclusivo de su cuenta, solo garantiza que una solicitud proviene de la red de Cloudflare”, Cloudflare ahora afirma explícitamente.
“Para una seguridad más estricta, debe configurar extracciones de origen autenticado con su propio certificado y considerar otras medidas de seguridad para su origen”.
“El mecanismo de ‘lista de direcciones IP permitidas de Cloudflare’ debe considerarse como una defensa en profundidad y no como el único mecanismo para proteger los servidores de origen”, dijo Proksch. “El mecanismo ‘Extracción de origen autenticado’ debe configurarse con certificados personalizados en lugar del certificado de Cloudflare”.
Certeza anteriormente también descubierto que es posible que los atacantes aprovechen los registros DNS “colgantes” para secuestrar subdominios pertenecen a más de 1.000 organizaciones que abarcan gobiernos, medios de comunicación, partidos políticos y universidades, y probablemente los utilizan para la distribución de malware, campañas de desinformación y ataques de phishing.
“En la mayoría de los casos, el secuestro de subdominios podría prevenirse eficazmente mediante los servicios en la nube mediante la verificación de la propiedad del dominio y no liberando inmediatamente los identificadores utilizados previamente para el registro”, señaló el investigador de seguridad Florian Schweitzer.
Las revelaciones llegan cuando Akamai reveló que los adversarios están aprovechando cada vez más los algoritmos de generación de dominios (DGA) sembrados dinámicamente para evitar la detección y complicar el análisis, extendiendo efectivamente la vida útil de los canales de comunicación de comando y control (C2).
“Saber qué dominios DGA se activarán mañana nos permite incluir proactivamente estos dominios en nuestras listas de bloqueo para proteger a los usuarios finales de las botnets”, afirman los investigadores de seguridad Connor Faulkner y Stijn Tilborghs. dicho.
“Desafortunadamente, ese escenario no es posible con semillas impredecibles, como Google Trends, temperaturas o tipos de cambio. Incluso si tenemos el código fuente de la familia, no podemos predecir correctamente los nombres de dominio DGA generados en el futuro. “
En agosto, un grupo de académicos de la Universidad de California, Irvine y la Universidad de Tsinghua demostrado un ataque de envenenamiento de DNS llamado MaginotDNS que explota fallas en el algoritmos de verificación de bailía para apoderarse de zonas DNS enteras, incluso dominios de nivel superior como .com y .net.
“La clave para el descubrimiento de MaginotDNS son las implementaciones inconsistentes de bailiwick entre diferentes modos DNS”, afirman los investigadores. señaló. “Las vulnerabilidades no dañan a los reenviadores habituales, ya que no realizan resoluciones de dominio recursivas, pero para los servidores DNS condicionales (CDNS), pueden tener consecuencias graves”.
“CDNS es un tipo frecuente de servidor DNS, pero aún no se ha estudiado sistemáticamente. Está configurado para actuar como solucionador recursivo y reenviador simultáneamente, y los diferentes modos de servidor comparten el mismo caché global. Como resultado, los atacantes pueden explotar las vulnerabilidades del reenviador y ‘ cruzar la frontera’ – atacar a los solucionadores recursivos en el mismo servidor.”
About the Author
