В инструменте защиты Cloudflare Web Application Firewall (WAF) обнаружилась уязвимость, которая позволяла злоумышленникам обходить систему безопасности и открывать доступ к защищаемым сайтам, злоупотребляя механизмом проверки сертификата.
Содержание статьи
- 1 Итоги 2025 года: игровые видеокарты
- 2 Лучшие игры 2025 года: выбор читателей и редакции
- 3 Лучшие ИИ-сервисы и приложения 2025 года: боты одолевают
- 4 Итоги 2025 года: носимые устройства
- 5 Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма
- 6 Итоги 2025 года: программное обеспечение
- 7 Итоги 2025 года: процессоры для ПК
- 8 Итоги 2025 года: почему память стала роскошью и что будет дальше
- 9 Итоги 2025 года: интернет-индустрия
- 10 Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года
- 11 Итоги 2025 года: смартфоны
Итоги 2025 года: игровые видеокарты
Лучшие игры 2025 года: выбор читателей и редакции
Лучшие ИИ-сервисы и приложения 2025 года: боты одолевают
Итоги 2025 года: носимые устройства
Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма
Итоги 2025 года: программное обеспечение
Итоги 2025 года: процессоры для ПК
Итоги 2025 года: почему память стала роскошью и что будет дальше
Итоги 2025 года: интернет-индустрия
Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года
Итоги 2025 года: смартфоны
Источник изображения: cloudflare.com
Запросы к сайтам на адрес «/.well-known/acme-challenge/» доходили до них даже в тех случаях, когда настроенный клиентом WAF явным образом блокировал весь остальной трафик, обнаружили эксперты по кибербезопасности из компании FearsOff. Протокол автоматической среды проверки сертификатов ACME (Automatic Certificate Management Environment) позволяет автоматизировать проверку SSL/TLS-сертификатов, сверяя с центрами сертификации имя владельца домена. При реализации метода проверки HTTP-01 центр сертификации исходит из того, что сайт предоставляет одноразовый токен по адресу «/.well-known/acme-challenge/{token}». Этот путь существует почти для каждого современного сайта как сервисный маршрут при автоматической выдаче сертификатов.
Метод предполагает, что доступ реализуется только для бота проверки и одного конкретного файла — и это не должен быть открытый шлюз к исходному серверу. Тем не менее, даже конфигурация WAF, при которой блокируется глобальный доступ, и в разрешённые попадают лишь определённые источники, делала исключение для механизма проверки ACME HTTP-01. Чтобы подтвердить свою гипотезу, эксперты создали домены третьего уровня для основного сайта компании и обнаружили, что если запрошенный токен не соответствовал порядку управляемых Cloudflare сертификатов, при запросе проверка WAF попросту обходилась, и любому посетителю открывался прямой доступ к сайту клиента. Это породило целую череду уязвимостей при работе, в частности, с приложениями Spring/Tomcat, Next.js и PHP. И даже если пользователь вручную настраивал соответствующие правила блокировки, система игнорировала их, чтобы не мешать проверке данных для центров сертификации.
Специалисты FearsOff сообщили Cloudflare об обнаруженной уязвимости 9 октября 2025 года, Cloudflare начала проверку 13 октября, подтверждение на платформе HackerOne пришло 14 октября. Проблему исправили 27 октября — защитный механизм изменили таким образом, чтобы функции безопасности отключались лишь тогда, когда запросы соответствуют действительным токенам проверки ACME HTTP-01 для конкретного имени хоста. Дальнейшее тестирование показало, что правила WAF теперь применяются единообразно ко всем путям, в том числе для уязвимого ранее ACME. От клиентов Cloudflare никаких действий не требуется, и признаков злонамеренной эксплуатации уязвимости обнаружено не было.
