{"id":980887,"date":"2023-10-04T01:36:48","date_gmt":"2023-10-04T01:36:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/un-investigador-revela-nuevas-tecnicas-para-evitar-el-firewall-y-la-proteccion-ddos-de-cloudflare\/"},"modified":"2023-10-04T01:36:53","modified_gmt":"2023-10-04T01:36:53","slug":"un-investigador-revela-nuevas-tecnicas-para-evitar-el-firewall-y-la-proteccion-ddos-de-cloudflare","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/un-investigador-revela-nuevas-tecnicas-para-evitar-el-firewall-y-la-proteccion-ddos-de-cloudflare\/","title":{"rendered":"Un investigador revela nuevas t\u00e9cnicas para evitar el firewall y la protecci\u00f3n DDoS de Cloudflare"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Se ha descubierto que los mecanismos de prevenci\u00f3n de ataques de firewall y de denegaci\u00f3n de servicio distribuido (DDoS) en Cloudflare se pueden eludir explotando las brechas en los controles de seguridad entre inquilinos, frustrando el prop\u00f3sito mismo de estas salvaguardas.<\/p>\n

“Los atacantes pueden utilizar sus propias cuentas de Cloudflare para abusar de la relaci\u00f3n de confianza por dise\u00f1o entre Cloudflare y los sitios web de los clientes, haciendo que el mecanismo de protecci\u00f3n sea ineficaz”, afirma Stefan Proksch, investigador de Certitude. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n

El problema, seg\u00fan la consultora austriaca, es el resultado de la infraestructura compartida disponible para todos los inquilinos dentro de Cloudflare, independientemente de si son leg\u00edtimos o no, lo que facilita que los actores maliciosos abusen de la confianza impl\u00edcita asociada con el servicio y venzan las barreras de seguridad. .<\/p>\n

El primer problema surge de optar por un certificado compartido de Cloudflare para autenticar las solicitudes HTTP(S) entre los servidores proxy inversos del servicio y el servidor de origen del cliente como parte de una caracter\u00edstica llamada Extracciones de origen autenticado<\/a>.<\/p>\n

Como su nombre lo indica, Authenticated Origin Pulls garantiza que las solicitudes enviadas al servidor de origen para recuperar contenido cuando no est\u00e1 disponible en el cach\u00e9 se originen desde Cloudflare y no desde un actor de amenazas.<\/p>\n

\"La<\/a><\/center><\/div>\n

Una consecuencia de tal configuraci\u00f3n es que un atacante con una cuenta de Cloudflare puede enviar su carga maliciosa a trav\u00e9s de la plataforma aprovechando el hecho de que todas las conexiones que se originan en Cloudflare est\u00e1n permitidas, incluso si el inquilino que inicia la conexi\u00f3n es nefasto.<\/p>\n

“Un atacante puede configurar un dominio personalizado con Cloudflare y apuntar el registro DNS A a [a] direcci\u00f3n IP de la v\u00edctima”, explic\u00f3 Proksch.<\/p>\n

“Luego, el atacante desactiva todas las funciones de protecci\u00f3n para ese dominio personalizado en su inquilino y canaliza sus ataques a trav\u00e9s de la infraestructura de Cloudflare. Este enfoque permite a los atacantes eludir las funciones de protecci\u00f3n de la v\u00edctima”.<\/p>\n

El segundo problema implica el abuso de Lista de direcciones IP permitidas de Cloudflare<\/a> \u2013 que impide que el servidor de origen reciba tr\u00e1fico de direcciones IP de visitantes individuales y lo limita a direcciones IP de Cloudflare \u2013 para transmitir entradas no autorizadas y apuntar a otros usuarios en la plataforma.<\/p>\n

Tras la divulgaci\u00f3n responsable el 16 de marzo de 2023, Cloudflare reconoci\u00f3 los hallazgos como informativos y agreg\u00f3 una nueva advertencia en su documentaci\u00f3n.<\/p>\n

“Tenga en cuenta que el certificado que Cloudflare le proporciona para configurar las extracciones de origen autenticado no es exclusivo de su cuenta, solo garantiza que una solicitud proviene de la red de Cloudflare”, Cloudflare ahora<\/a> afirma expl\u00edcitamente.<\/p>\n

“Para una seguridad m\u00e1s estricta, debe configurar extracciones de origen autenticado con su propio certificado y considerar otras medidas de seguridad para su origen”.<\/p>\n

“El mecanismo de ‘lista de direcciones IP permitidas de Cloudflare’ debe considerarse como una defensa en profundidad y no como el \u00fanico mecanismo para proteger los servidores de origen”, dijo Proksch. “El mecanismo ‘Extracci\u00f3n de origen autenticado’ debe configurarse con certificados personalizados en lugar del certificado de Cloudflare”.<\/p>\n

Certeza anteriormente tambi\u00e9n descubierto<\/a> que es posible que los atacantes aprovechen los registros DNS “colgantes” para secuestrar subdominios<\/a> pertenecen a m\u00e1s de 1.000 organizaciones que abarcan gobiernos, medios de comunicaci\u00f3n, partidos pol\u00edticos y universidades, y probablemente los utilizan para la distribuci\u00f3n de malware, campa\u00f1as de desinformaci\u00f3n y ataques de phishing.<\/p>\n

“En la mayor\u00eda de los casos, el secuestro de subdominios podr\u00eda prevenirse eficazmente mediante los servicios en la nube mediante la verificaci\u00f3n de la propiedad del dominio y no liberando inmediatamente los identificadores utilizados previamente para el registro”, se\u00f1al\u00f3 el investigador de seguridad Florian Schweitzer.<\/p>\n

Las revelaciones llegan cuando Akamai revel\u00f3 que los adversarios est\u00e1n aprovechando cada vez m\u00e1s los algoritmos de generaci\u00f3n de dominios (DGA) sembrados din\u00e1micamente para evitar la detecci\u00f3n y complicar el an\u00e1lisis, extendiendo efectivamente la vida \u00fatil de los canales de comunicaci\u00f3n de comando y control (C2).<\/p>\n

\"La<\/a><\/center><\/div>\n

“Saber qu\u00e9 dominios DGA se activar\u00e1n ma\u00f1ana nos permite incluir proactivamente estos dominios en nuestras listas de bloqueo para proteger a los usuarios finales de las botnets”, afirman los investigadores de seguridad Connor Faulkner y Stijn Tilborghs. dicho<\/a>.<\/p>\n

“Desafortunadamente, ese escenario no es posible con semillas impredecibles, como Google Trends, temperaturas o tipos de cambio. Incluso si tenemos el c\u00f3digo fuente de la familia, no podemos predecir correctamente los nombres de dominio DGA generados en el futuro. “<\/p>\n

En agosto, un grupo de acad\u00e9micos de la Universidad de California, Irvine y la Universidad de Tsinghua demostrado<\/a> un ataque de envenenamiento de DNS llamado MaginotDNS que explota fallas en el algoritmos de verificaci\u00f3n de bail\u00eda<\/a> para apoderarse de zonas DNS enteras, incluso dominios de nivel superior como .com y .net.<\/p>\n

“La clave para el descubrimiento de MaginotDNS son las implementaciones inconsistentes de bailiwick entre diferentes modos DNS”, afirman los investigadores. se\u00f1al\u00f3<\/a>. “Las vulnerabilidades no da\u00f1an a los reenviadores habituales, ya que no realizan resoluciones de dominio recursivas, pero para los servidores DNS condicionales (CDNS), pueden tener consecuencias graves”. <\/p>\n

“CDNS es un tipo frecuente de servidor DNS, pero a\u00fan no se ha estudiado sistem\u00e1ticamente. Est\u00e1 configurado para actuar como solucionador recursivo y reenviador simult\u00e1neamente, y los diferentes modos de servidor comparten el mismo cach\u00e9 global. Como resultado, los atacantes pueden explotar las vulnerabilidades del reenviador y ‘ cruzar la frontera’ \u2013 atacar a los solucionadores recursivos en el mismo servidor.”<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n