Des pirates informatiques utilisent-ils les tunnels Cloudflare pour des communications secrètes?

« Cloudflared est fonctionnellement très similaire à ngrok », a déclaré Nic Finn, analyste principal des renseignements sur les menaces chez GuidePoint Security. « Cependant, Cloudflared diffère de ngrok en ce qu’il offre gratuitement beaucoup plus de possibilités d’utilisation, y compris la possibilité d’héberger la connectivité TCP sur cloudflared.

Outil de ligne de commande pour Cloudflare Tunnel, cloudflared permet aux utilisateurs de créer des connexions sécurisées entre un serveur web d’origine et le centre de données Cloudflare le plus proche afin de masquer les adresses IP du serveur web et de bloquer les attaques volumétriques par déni de service distribué (DDoS) et les attaques de connexion par force brute.

Pour un acteur de la menace disposant d’un accès élevé sur un hôte infecté, cette fonctionnalité constitue une approche lucrative pour s’implanter en générant un jeton nécessaire à l’établissement du tunnel à partir de la machine victime.

« Le tunnel est mis à jour dès que le changement de configuration est effectué dans le tableau de bord Cloudflare, ce qui permet aux TA d’activer la fonctionnalité uniquement lorsqu’ils souhaitent mener des activités sur la machine victime, puis de la désactiver pour éviter que leur infrastructure ne soit exposée », a expliqué M. Finn.

« Par exemple, l’AT peut activer la connectivité RDP, collecter des informations sur la machine victime, puis désactiver RDP jusqu’au lendemain, réduisant ainsi les chances de détection ou la possibilité d’observer le domaine utilisé pour établir la connexion.

Plus inquiétant encore, l’adversaire pourrait tirer parti de la fonctionnalité de réseaux privés du tunnel pour accéder furtivement à une série d’adresses IP (c’est-à-dire à des points d’extrémité au sein d’un réseau local) comme s’ils étaient « physiquement colocalisés avec la machine victime hébergeant le tunnel ».
Cela dit, cette technique a déjà trouvé des adeptes dans la nature. Au début de l’année, Phylum et Kroll ont décrit deux attaques différentes de la chaîne d’approvisionnement en logiciels ciblant le dépôt Python Package Index (PyPI), dans lesquelles des paquets frauduleux ont été observés en train de télécharger des points d’accès à distance cloudflared via l’application web Flask.

« Les organisations qui utilisent légitimement les services de Cloudflare pourraient potentiellement limiter leurs services à des centres de données spécifiques et générer des détections pour le trafic comme les tunnels Cloudflared qui passent par n’importe quel endroit en dehors des centres de données qu’elles ont spécifiés », a déclaré Finn. « Cette méthode pourrait faciliter la détection des tunnels non autorisés.

Pour identifier une éventuelle utilisation abusive de Cloudflared, il est recommandé aux organisations de mettre en place des mécanismes de journalisation adéquats, de surveiller les commandes anormales, les requêtes DNS et les connexions sortantes, ainsi que de bloquer les tentatives de téléchargement d’exécutables.