Cloudflare修复WAF绕过漏洞阻止攻击者侧门入侵

Cloudflare已修复其Web应用防火墙（WAF）中的一个缺陷，该缺陷允许攻击者绕过安全规则直接访问源服务器，可能导致数据盗窃或服务器完全被接管。

FearsOff安全研究人员在10月通过Cloudflare的漏洞赏金计划报告了这个漏洞，该CDN公司表示已修补其ACME（自动证书管理环境）验证逻辑中的漏洞，客户无需采取任何行动。

ACME是证书颁发机构和Cloudflare等服务用于自动化SSL/TLS证书颁发、更新和撤销的协议。它使用挑战来证明域名所有权，然后再颁发安全证书，这通常通过HTTP-01挑战完成，该挑战按以下格式检查HTTP路径上的验证令牌：http://{客户域名}/.well-known/acme-challenge/{令牌值}。

网络威胁狩猎公司在其报告中将WAF比作前门，将ACME比作走廊，该走廊应该只供证书机器人用来验证域名所有权。正确配置后，WAF可以帮助让预期的验证流量通过，同时过滤掉许多恶意请求，包括自动化机器人。

"证书机器人的走廊永远不应该成为侧门，"FearsOff研究人员写道。

这个"侧门"是由Cloudflare处理某些ACME挑战请求时的逻辑缺陷造成的。

"以前，当Cloudflare提供HTTP-01挑战令牌时，如果调用者请求的路径与我们系统中活跃挑战的令牌匹配，提供ACME挑战令牌的逻辑会禁用WAF功能，因为Cloudflare会直接提供响应，"Cloudflare在周一的博客中解释道。

"这样做是因为这些功能可能会干扰证书颁发机构验证令牌值的能力，并会导致自动化证书订购和更新失败，"它继续说道。

然而，这种情况下的逻辑未能验证请求中的令牌是否与主机名的活跃挑战匹配，这将允许攻击者完全绕过WAF安全控制并到达源服务器。

Cloudflare在10月27日通过推送代码修复了这个缺陷，该代码只有在请求与主机名的有效ACME HTTP-01挑战令牌匹配时才允许禁用WAF功能。

虽然没有证据表明恶意分子在Cloudflare修复问题之前发现并滥用了这个安全漏洞，但漏洞猎手表示，面对生成式AI驱动的攻击，这种类型的WAF绕过对组织构成了更大的威胁。

"由机器学习驱动的自动化工具可以快速枚举和利用暴露的路径，如/.well-known/acme-challenge/，大规模探测框架特定的弱点或错误配置，"FearsOff在周一的分析中写道。"例如，训练用于识别servlet遍历怪癖或PHP路由漏洞的生成式AI模型可以将这种绕过与有针对性的有效载荷链接起来，将狭窄的维护路径转变为广泛的攻击载体。"

Q&A

Q1：什么是WAF绕过漏洞？

A：WAF绕过漏洞是指攻击者能够绕过Web应用防火墙安全规则直接访问源服务器的安全缺陷。在这个案例中，Cloudflare的ACME验证逻辑存在缺陷，未能正确验证挑战令牌与主机名的匹配关系，导致攻击者可以完全绕过WAF保护。

Q2：ACME协议是什么作用？

A：ACME是自动证书管理环境协议，用于自动化SSL/TLS证书的颁发、更新和撤销。它通过挑战来证明域名所有权，通常使用HTTP-01挑战检查特定路径上的验证令牌，格式为http://{域名}/.well-known/acme-challenge/{令牌值}。

Q3：生成式AI如何加剧WAF绕过威胁？

A：生成式AI驱动的自动化工具可以快速枚举和利用暴露路径，大规模探测框架弱点或错误配置。训练过的生成式AI模型能够识别特定漏洞并将WAF绕过与有针对性攻击载荷链接，将原本狭窄的维护路径转变为广泛的攻击载体。