Comment contourner les pare-feux et la protection DDoS de Cloudflare ?
- par Kenan
- , le 8 décembre 2024
- 21 h 58 min
Il est apparu que les mécanismes de prévention des attaques par déni de service distribué (DDoS) et des pare-feu de Cloudflare peuvent être contournés en exploitant les lacunes des contrôles de sécurité inter-locataires, ce qui va à l’encontre de l’objectif même de ces mesures de protection. Nous allons vous expliquer les mécanismes derrière ces lacunes qui permettent de contourner cloudflare.
Vous chercher à vous protéger ou à protéger votre entreprise ? Consultez nos services et contactez nous !
« Les attaquants peuvent ouvrir leur propre compte Cloudflare afin de détourner la relation de confiance établie entre la plateforme et les sites web clients, rendant inopérant le mécanisme de protection », explique Stefan Proksch, chercheur chez Certitude, dans un rapport publié la semaine dernière.
Lire aussi >> Les meilleures formations en cybersécurité pour devenir expert en sécurité informatique
Selon la société de conseil autrichienne, le problème provient d’une infrastructure partagée, accessible aussi bien aux locataires légitimes qu’aux acteurs malveillants. Ce contexte crée un climat de confiance implicite, dont profitent les cybercriminels pour contourner les garde-fous mis en place.
Le premier problème identifié provient de l’usage d’un certificat Cloudflare partagé, utilisé pour authentifier les requêtes HTTP(S) entre les proxys inversés de la plateforme et le serveur d’origine du client, via une fonction appelée « Authenticated Origin Pulls ». Cette fonctionnalité, censée garantir que les requêtes proviennent bien de Cloudflare, peut être exploitée par un attaquant qui possède un compte sur la plateforme. Il peut alors faire transiter sa charge utile malveillante par l’infrastructure Cloudflare, profitant du fait que toute connexion en provenance du réseau de Cloudflare est autorisée, même si l’initiateur est malintentionné.
« Un pirate peut créer un domaine personnalisé avec Cloudflare, pointer son enregistrement DNS A vers l’adresse IP de la victime, puis désactiver toute protection sur ce domaine dans son propre locataire », précise Proksch. « Ainsi, les attaques traversent l’infrastructure Cloudflare et contournent les protections du site victime. »
Le deuxième problème concerne la manière dont sont gérées les adresses IP de Cloudflare placées sur liste d’autorisation, une faille qui ouvre la voie à de nouvelles stratégies d’attaque. Les chercheurs ont notamment découvert une méthode permettant un empoisonnement DNS, potentiellement capable de prendre le contrôle de zones DNS entières, y compris des domaines de premier niveau comme .com ou .net.
L’efficacité de cette méthode repose sur l’utilisation d’adresses IP Cloudflare afin de protéger le domaine personnalisé de l’attaquant. Le rapport met en lumière le fonctionnement des serveurs DNS de type « CDNS », très répandus mais insuffisamment étudiés. Configurés pour agir simultanément en tant que résolveurs récursifs et transitaires, ils partagent un cache global unique. Cette configuration permet aux cybercriminels d’exploiter les vulnérabilités du mode transitaire pour « traverser la frontière » et attaquer les résolveurs récursifs du même serveur, ouvrant ainsi de nouvelles possibilités pour contourner les protections mises en place.