Tường lửa và các cơ chế ngăn chặn tấn công từ chối dịch vụ phân tán (DDoS) trong Cloudflare có thể bị phá vỡ bằng cách khai thác các lỗ hổng trong kiểm soát bảo mật của nhiều bên thuê, làm mất đi mục đích chính của các biện pháp bảo vệ này.
“Những kẻ tấn công có thể sử dụng tài khoản Cloudflare của chính họ để lạm dụng mối quan hệ tin cậy trên mỗi thiết kế giữa Cloudflare và trang web của khách hàng, khiến cơ chế bảo vệ không hiệu quả”, nhà nghiên cứu của Certitude, Stefan Proksch cho biết trong một báo cáo được công bố vào tuần trước .
Theo công ty tư vấn Áo, vấn đề là do cơ sở hạ tầng dùng chung có sẵn cho tất cả người thuê trong Cloudflare, bất kể chúng hợp pháp hay không, do đó khiến các tác nhân độc hại dễ dàng lạm dụng lòng tin ngầm liên quan đến dịch vụ và đánh bại lan can.
Vấn đề đầu tiên bắt nguồn từ việc chọn chứng chỉ Cloudflare được chia sẻ để xác thực các yêu cầu HTTP(S) giữa proxy ngược của dịch vụ và máy chủ gốc của khách hàng như một phần của tính năng có tên là Kéo nguồn gốc được xác thực .
Đúng như tên gọi, Kéo nguồn gốc được xác thực đảm bảo các yêu cầu được gửi đến máy chủ gốc để tìm nạp nội dung khi nội dung đó không có sẵn trong bộ đệm bắt nguồn từ Cloudflare chứ không phải từ tác nhân đe dọa.
Hậu quả của việc thiết lập như vậy là kẻ tấn công có tài khoản Cloudflare có thể gửi tải trọng độc hại của chúng qua nền tảng bằng cách lợi dụng thực tế là tất cả các kết nối có nguồn gốc từ Cloudflare đều được cho phép, ngay cả khi người thuê bắt đầu kết nối là bất chính.
Proksch giải thích: “Kẻ tấn công có thể thiết lập một miền tùy chỉnh với Cloudflare và trỏ bản ghi DNS A tới địa chỉ IP của nạn nhân”.
“Kẻ tấn công sau đó sẽ vô hiệu hóa tất cả các tính năng bảo vệ cho miền tùy chỉnh đó trong đối tượng thuê của chúng và thực hiện (các) cuộc tấn công của chúng thông qua cơ sở hạ tầng Cloudflare. Cách tiếp cận này cho phép kẻ tấn công bỏ qua các tính năng bảo vệ của nạn nhân.”
Vấn đề thứ hai liên quan đến việc lạm dụng việc đưa các địa chỉ IP Cloudflare vào danh sách cho phép – ngăn máy chủ gốc nhận lưu lượng truy cập từ các địa chỉ IP của khách truy cập riêng lẻ và giới hạn ở các địa chỉ IP Cloudflare – để truyền đầu vào giả mạo và nhắm mục tiêu vào những người dùng khác trên nền tảng.
Sau khi tiết lộ có trách nhiệm vào ngày 16 tháng 3 năm 2023, Cloudflare thừa nhận những phát hiện này là thông tin hữu ích, đồng thời bổ sung cảnh báo mới vào tài liệu của mình.
“Lưu ý rằng chứng chỉ mà Cloudflare cung cấp cho bạn để thiết lập Kéo nguồn gốc được xác thực không dành riêng cho tài khoản của bạn, chỉ đảm bảo rằng yêu cầu đến từ mạng Cloudflare,” Cloudflare hiện tuyên bố rõ ràng.
"Để bảo mật chặt chẽ hơn, bạn nên thiết lập Nguồn gốc được xác thực bằng chứng chỉ của riêng mình và xem xét các biện pháp bảo mật khác cho nguồn gốc của bạn."
Proksch cho biết: “Cơ chế 'Danh sách địa chỉ IP Cloudflare được phép' nên được coi là cơ chế bảo vệ chuyên sâu và không phải là cơ chế duy nhất để bảo vệ các máy chủ gốc. "Cơ chế 'Kéo nguồn gốc xác thực' phải được định cấu hình bằng chứng chỉ tùy chỉnh thay vì chứng chỉ Cloudflare."
Certitude trước đây cũng đã phát hiện ra rằng kẻ tấn công có thể lợi dụng các bản ghi DNS “lơ lửng” để chiếm quyền điều khiển tên miền phụ của hơn 1.000 tổ chức bao gồm các chính phủ, cơ quan truyền thông, đảng phái chính trị và trường đại học, đồng thời có thể sử dụng chúng để phân phối phần mềm độc hại, các chiến dịch đưa thông tin sai lệch và tấn công lừa đảo. .
Nhà nghiên cứu bảo mật Florian Schweitzer lưu ý: “Trong hầu hết các trường hợp, việc chiếm đoạt tên miền phụ có thể được ngăn chặn một cách hiệu quả bởi các dịch vụ đám mây thông qua xác minh quyền sở hữu tên miền và không phát hành ngay các số nhận dạng đã sử dụng trước đó để đăng ký”.
Các tiết lộ được đưa ra khi Akamai tiết lộ rằng các đối thủ đang ngày càng tận dụng các thuật toán tạo miền được tạo hạt giống linh hoạt (DGA) để tránh bị phát hiện và làm phức tạp việc phân tích, kéo dài tuổi thọ của các kênh liên lạc chỉ huy và kiểm soát (C2) một cách hiệu quả.
Các nhà nghiên cứu bảo mật Connor Faulkner và Stijn Tilborghs cho biết : “Việc biết miền DGA nào sẽ kích hoạt vào ngày mai cho phép chúng tôi chủ động đưa các miền này vào danh sách chặn của mình để bảo vệ người dùng cuối khỏi mạng botnet” .
"Thật không may, kịch bản đó không thể xảy ra với những hạt giống không thể đoán trước, chẳng hạn như Google Xu hướng, nhiệt độ hoặc tỷ giá hối đoái. Ngay cả khi chúng tôi có mã nguồn của họ, chúng tôi cũng không thể dự đoán chính xác các tên miền DGA được tạo trong tương lai. "
Hồi tháng 8, một nhóm học giả từ Đại học California, Irvine và Đại học Thanh Hoa đã trình diễn một cuộc tấn công đầu độc DNS có tên MaginotDNS, khai thác lỗ hổng trong thuật toán kiểm tra tại bailiwick để chiếm toàn bộ vùng DNS, thậm chí bao gồm cả các tên miền cấp cao nhất như .com và .net.
Các nhà nghiên cứu chỉ ra : “Chìa khóa để khám phá MaginotDNS là việc triển khai bailiwick không nhất quán giữa các chế độ DNS khác nhau” . “Các lỗ hổng không gây hại cho các nhà chuyển tiếp thông thường vì chúng không thực hiện phân giải miền đệ quy, nhưng đối với các máy chủ DNS có điều kiện (CDNS), có thể gây ra hậu quả nghiêm trọng.”
"CDNS là một loại máy chủ DNS phổ biến nhưng chưa được nghiên cứu một cách có hệ thống. Nó được cấu hình để hoạt động đồng thời như một trình phân giải và chuyển tiếp đệ quy, đồng thời các chế độ máy chủ khác nhau chia sẻ cùng một bộ nhớ đệm toàn cầu. Kết quả là những kẻ tấn công có thể khai thác các lỗ hổng của trình chuyển tiếp và ' vượt qua ranh giới' – tấn công các trình phân giải đệ quy trên cùng một máy chủ."
Dịch Vụ Cho Thuê DDoS : Tại Đây