Cloudflare è una società tecnologica globale specializzata nella fornitura di servizi di sicurezza e strumenti online utili a massimizzare le prestazioni e l’affidabilità dei siti Web. Tra i prodotti messi a disposizione dei clienti c’è un sistema per la protezione contro gli attacchi DDoS (Distributed Denial of Services), un meccanismo di gestione dei bot e un Web Application Firewall (WAF).
Il Web Application Firewall è un tipo di firewall progettato specificamente per proteggere le applicazioni Web da varie minacce e attacchi informatici. Funziona analizzando il traffico HTTP tra gli utenti e le applicazioni Web, per individuare e mitigare potenziali vulnerabilità e attacchi alla sicurezza. Un WAF opera a livello dell’applicazione, identificando e bloccando le attività sospette o dannose prima che possano raggiungerla.
Stefan Proksch e Florian Schweitzer spiegano di aver rilevato una “lacuna” sul piano della sicurezza che può essere sfruttata per eludere le protezioni impostate lato Cloudflare. In realtà si tratta di un tema che era già noto in passato ma i due ricercatori hanno il merito di averlo riportato in superficie con una descrizione puntuale, inviata in primis – privatamente – proprio a Cloudflare a marzo 2023. Ne parlano pubblicamente oggi dopo aver fatto trascorrere i canonici 180 giorni.
I sistemi Cloudflare potrebbero essere utilizzati per superare le restrizioni imposte da altri clienti usando sempre Cloudflare
Proksch e Schweitzer spiegano che i meccanismi di protezione configurati dal cliente Cloudflare (ad esempio firewall, prevenzione DDoS,…) per i siti Web possono essere aggirati per via della mancanza di alcuni controlli tra tenant. Il termine tenant si riferisce agli utenti o ai clienti che utilizzano i servizi di Cloudflare per la protezione dei loro siti Web o delle loro applicazioni online. Un tenant può essere un’organizzazione, un’azienda o un singolo utente che ha registrato un account con Cloudflare per beneficiare dei suoi servizi di sicurezza e ottimizzazione Web.
Un aggressore potrebbe usare i suoi account Cloudflare per abusare della relazione di fiducia implicitamente accordata ai sistemi che compongono l’infrastruttura dell’azienda statunitense. Di fatto, quindi, diventa teoricamente possibile bypassare le restrizioni Cloudflare proprio usando un account Cloudflare, anche gratuito.
Le protezioni firewall e le difese anti-DDoS non valgono per i sistemi dell’infrastruttura Cloudflare
Cloudflare delinea vari meccanismi per “impedire agli aggressori di scoprire e sovraccaricare il server” con un elevato volume di richieste (attacchi DoS e DDoS). Il traffico proveniente da Cloudflare, tuttavia, è sempre considerato attendibile e secondo i ricercatori questo aspetto non è evidenziato nella documentazione. “Abbiamo rilevato che gli aggressori possono abusare della fiducia (…) inviando payload dannosi tramite la piattaforma Cloudflare, ignorando vari meccanismi di protezione (ad esempio, il Web Application Firewall) che un cliente potrebbe aver configurato per il proprio ambiente. L’impatto effettivo di questo bypass dipende dalla configurazione del server di origine del cliente“, fanno presente i due ricercatori.
Nello specifico, i ricercatori illustrano due sistemi di protezione offerti da Cloudflare che possono essere sfruttati dagli attaccanti per eludere le difese della piattaforma:
- Authenticated Origin Pulls: Considerato “molto sicuro” nella documentazione di Cloudflare, questo meccanismo autentica le connessioni tra i reverse proxy Cloudflare e i server di origine dell’utente utilizzando un certificato SSL. L’uso del certificato condiviso di Cloudflare, anziché un certificato personalizzato per il singolo tenant, permette a un attaccante di inviare payload dannosi attraverso l’infrastruttura di Cloudflare, scavalcano le misure di sicurezza impostate.
- Allowlist Cloudflare IP addresses: Valutato come “moderatamente sicuro”, questo schema impedisce le connessioni provenienti da indirizzi IP al di fuori di quelli di Cloudflare. Tuttavia, l’analisi dimostra che un attaccante può creare un dominio personalizzato su Cloudflare, dirigere il traffico verso l’IP della vittima e, disabilitando tutte le funzioni di protezione per quel dominio personalizzato, instradare il suo attacco attraverso l’infrastruttura Cloudflare, eludendo così le difese configurate dalla vittima.
Come evitare eventuali attacchi
Il problema relativo all’utilizzo dello schema “Authenticated Origin Pulls” su Cloudflare, come descritto nell’analisi dei due ricercatori, può essere risolto o comunque attenuato utilizzando certificati personalizzati. L’uso di certificati SSL/TLS specifici per le applicazioni Web e i domini da proteggere assicura che le connessioni siano autenticate per il singolo tenant e non consentono a tutti gli utenti di Cloudflare di autenticarsi sul server di origine.
Nel caso dell’approccio “Allowlist Cloudflare IP addresses“, invece, l’uso di Cloudflare Aegis è valutato come la migliore soluzione per mitigare il problema. Il servizio Aegis offre indirizzi IP di uscita dedicati e non fa uso dell’intervallo di indirizzi IP condiviso.
Cosa dovrebbe fare Cloudflare, secondo i ricercatori
Nell’ambito del suo programma bug bounty, Cloudflare ha considerato la segnalazione pervenuta come a carattere semplicemente informativo. Ha quindi ritenuto opportuno di chiudere il caso senza procedere con ulteriori azioni.
I ricercatori, invece, insistono nel consigliare a Cloudflare di affrontare il problema descritto nella loro analisi. Si fa riferimento alla necessità di implementare ulteriori meccanismi di protezione per scongiurare il bypassing delle restrizioni impostate; di avvisare i clienti che fanno uso di configurazioni deboli o vulnerabili; di migliorare la documentazione per rendere i clienti consapevoli dei rischi associati a determinate configurazioni e delle migliori pratiche per evitare eventuali attacchi.
Cloudflare potrebbe inoltre esplorare opzioni alternative di autenticazione per i tenant, in modo che l’autenticazione non sia basata unicamente sul fatto che una richiesta provenga dalla piattaforma Cloudflare, ma piuttosto su autenticazioni più granulari specifiche per ogni utente.
Credit immagine in apertura: iStock.com/Jian Fan