Comment contourner les pare-feux et la protection DDoS de Cloudflare ?

« Les attaquants peuvent utiliser leurs propres comptes Cloudflare pour abuser de la relation de confiance établie entre Cloudflare et les sites web des clients, ce qui rend le mécanisme de protection inefficace », a déclaré Stefan Proksch, chercheur chez Certitude, dans un rapport publié la semaine dernière.

Le problème, selon la société de conseil autrichienne, est le résultat d’une infrastructure partagée accessible à tous les locataires de Cloudflare, qu’ils soient légitimes ou non, ce qui permet à des acteurs malveillants d’abuser de la confiance implicite associée au service et de déjouer les garde-fous.

Le premier problème découle de l’utilisation d’un certificat Cloudflare partagé pour authentifier les requêtes HTTP(S) entre les proxys inversés du service et le serveur d’origine du client, dans le cadre d’une fonction appelée Authenticated Origin Pulls.

Comme son nom l’indique, Authenticated Origin Pulls garantit que les requêtes envoyées au serveur d’origine pour récupérer du contenu lorsqu’il n’est pas disponible dans le cache proviennent de Cloudflare et non d’un acteur menaçant.

La conséquence d’une telle configuration est qu’un attaquant disposant d’un compte Cloudflare peut envoyer sa charge utile malveillante via la plateforme en profitant du fait que toutes les connexions provenant de Cloudflare sont autorisées, même si le locataire qui initie la connexion est malfaisant.

« Un pirate peut créer un domaine personnalisé avec Cloudflare et faire pointer l’enregistrement DNS A vers l’adresse IP de la victime », explique M. Proksch. « L’attaquant désactive ensuite toutes les fonctions de protection pour ce domaine personnalisé dans son locataire et fait passer ses attaques par l’infrastructure de Cloudflare. Cette approche permet aux attaquants de contourner les fonctions de protection de la victime ».

Le deuxième problème concerne l’utilisation abusive des adresses IP de Cloudflare sur liste d’autorisation – qui arrête

Des chercheurs ont découvert une nouvelle attaque d’empoisonnement DNS qui pourrait permettre aux attaquants de prendre le contrôle de zones DNS entières, y compris des domaines de premier niveau tels que .com et .net.

La clé de la réussite de cette attaque réside dans le fait qu’elle permet aux attaquants d’utiliser les adresses IP de Cloudflare pour protéger leur domaine personnalisé.

.

« Le CDNS est un type de serveur DNS très répandu, mais qui n’a pas encore fait l’objet d’une étude systématique. Il est configuré pour agir simultanément en tant que résolveur récursif et transitaire, et les différents modes de serveur partagent le même cache global. Par conséquent, les attaquants peuvent exploiter les vulnérabilités du transitaire et ‘traverser la frontière’ – attaquer les résolveurs récursifs sur le même serveur »

.