Vulnerabilidad en Cloudflare permitía acceso a cualquier host eludiendo las protecciones

Una vulnerabilidad Zero-Day crítica en el firewall de aplicaciones web (WAF) de Cloudflare permitía (fue solucionado en octubre pasado) a los atacantes eludir los controles de seguridad y acceder directamente a servidores de origen protegidos a través de una ruta de validación de certificados.

Investigadores de seguridad de FearsOff descubrieron que las solicitudes dirigidas al directorio /.well-known/acme-challenge/ podían alcanzar los orígenes incluso cuando las reglas del WAF configuradas por el cliente bloqueaban explícitamente el resto del tráfico.

El protocolo ACME (Automatic Certificate Management Environment) automatiza la validación de certificados SSL/TLS al exigir a las autoridades de certificación (CA) que verifiquen la propiedad del dominio. ACME es un protocolo de comunicaciones (RFC 8555) que facilita la emisión, renovación y revocación automáticas de certificados SSL/TLS. Cada certificado proporcionado a un sitio web por una autoridad de certificación (CA) se valida mediante desafíos para demostrar la propiedad del dominio.

El servidor de la CA realiza una solicitud HTTP GET a una URL exacta para recuperar el archivo. Una vez verificada, se emite el certificado y la CA marca la cuenta ACME (es decir, la entidad registrada en su servidor) como autorizada para administrar ese dominio específico.

Si el desafío se realiza mediante una orden de certificado administrada por Cloudflare, Cloudflare responderá por la ruta mencionada y proporcionará el token proporcionado por la CA al solicitante. Sin embargo, si no se corresponde con una orden administrada por Cloudflare, la solicitud se enruta al origen del cliente, que podría estar utilizando un sistema diferente para la validación del dominio.

En el método de validación HTTP-01 (o DNS-01), las CA esperan que los sitios web proporcionen un token de un solo uso en /.well-known/acme-challenge/{token}. Esta ruta existe en casi todos los sitios web modernos como una ruta de mantenimiento silenciosa para la emisión automatizada de certificados.

El diseño limita este acceso a un único bot de validación que revisa un archivo específico, no como una puerta de enlace abierta al servidor de origen.

Vulnerabilidad de día cero en Cloudflare

La vulnerabilidad, descubierta y reportada por FearsOff en octubre de 2025, se relaciona con una implementación defectuosa del proceso de validación ACME que provoca que ciertas solicitudes de desafío a la URL deshabiliten las reglas del firewall de aplicaciones web (WAF) y le permitan acceder al servidor de origen cuando, idealmente, debería haber sido bloqueada.

En otras palabras, la lógica no podía verificar si el token en la solicitud coincidía realmente con un desafío activo para ese nombre de host específico, lo que permitía a un atacante enviar solicitudes arbitrarias a la ruta ACME, eludir por completo las protecciones del WAF, y acceder al servidor de origen.

Las pruebas revelaron que las solicitudes dirigidas a la ruta de desafío ACME eludían por completo las reglas del WAF, lo que permitía al servidor de origen responder directamente en lugar de devolver la página de bloqueo de Cloudflare.

Para confirmar que no se trataba de una configuración incorrecta específica del inquilino, los investigadores crearon hosts de demostración controlados por ellos. Las solicitudes normales a estos hosts encontraron páginas de bloqueo como se esperaba, pero las solicitudes de la ruta ACME devolvieron respuestas generadas por el origen, generalmente errores 404 del framework.

La vulnerabilidad se originaba en la lógica de procesamiento de la red perimetral de Cloudflare para las rutas de desafío ACME HTTP-01. Cuando Cloudflare proporcionaba tokens de desafío para sus propios pedidos de certificados administrados, el sistema desactivaba las funciones del WAF para evitar interferencias con la validación de la CA.

Una falla crítica: si el token solicitado no coincidía con un pedido de certificado administrado por Cloudflare, la solicitud omitía por completo la evaluación del WAF y se dirigía directamente al origen del cliente. Este error lógico transformaba una excepción de validación de certificado limitada en una omisión de seguridad amplia que afectaba a todos los hosts protegidos por Cloudflare.

Esta omisión permitió a los investigadores demostrar múltiples vectores de ataque contra frameworks web comunes. En aplicaciones Spring/Tomcat, las técnicas de cruce de rutas de servlets mediante ..;/ accedieron a puntos finales sensibles de actuadores que expusieron entornos de proceso, credenciales de base de datos, tokens de API y claves de nube.

Las aplicaciones de renderizado del lado del servidor de Next.js filtraron datos operativos a través de respuestas directas al origen que nunca estuvieron destinadas al acceso público a internet.

Las aplicaciones PHP con vulnerabilidades de inclusión de archivos locales se volvieron explotables, lo que permitió a los atacantes acceder al sistema de archivos mediante parámetros de ruta maliciosos. Más allá de los ataques específicos del framework, las reglas del WAF a nivel de cuenta configuradas para bloquear solicitudes basadas en encabezados personalizados se ignoraron por completo para el tráfico de rutas ACME.

FearsOff reportó la vulnerabilidad a través del programa de recompensas por errores HackerOne de Cloudflare el 9 de octubre de 2025. Cloudflare inició la validación el 13 de octubre de 2025 y HackerOne evaluó el problema el 14 de octubre de 2025.

La compañía implementó una solución permanente el 27 de octubre de 2025, modificando el código para deshabilitar las funciones de seguridad solo cuando las solicitudes coincidan con tokens de desafío ACME HTTP-01 válidos para el nombre de host específico.

Las pruebas posteriores a la solución confirmaron que las reglas del WAF ahora se aplican uniformemente en todas las rutas, incluida la ruta de desafío ACME, anteriormente vulnerable. Cloudflare declaró que no se requiere ninguna acción por parte del cliente y confirmó que no se ha encontrado evidencia de explotación maliciosa.

Fuente: CyberSecurityNews

Suscríbete a nuestro Boletín