Se ha descubierto que los mecanismos de prevención de ataques de denegación de servicio distribuidos (DDoS) y firewall de Cloudflare pueden eludirse aprovechando las brechas en los controles de seguridad entre inquilinos, lo que anula el propósito mismo de estas salvaguardas.
"Los atacantes pueden utilizar sus propias cuentas de Cloudflare para abusar de la relación de confianza diseñada entre Cloudflare y los sitios web de los clientes, haciendo que el mecanismo de protección sea ineficaz", afirma Stefan Proksch, investigador de Certitude, en un informe publicado la semana pasada.
El problema, según la consultora austriaca, es el resultado de la infraestructura compartida disponible para todos los inquilinos de Cloudflare, independientemente de si son legítimos o no, lo que facilita a los actores maliciosos abusar de la confianza implícita asociada al servicio y venzan las barreras de seguridad.
El primer problema se deriva de optar por un certificado compartido de Cloudflare para autenticar las solicitudes HTTP(S) entre los proxies inversos del servicio y el servidor de origen del cliente como parte de una función denominada Authenticated Origin Pulls.
Como su nombre indica, Authenticated Origin Pulls garantiza que las solicitudes enviadas al servidor de origen para obtener contenido cuando no está disponible en la caché proceden de Cloudflare y no de un agente de amenazas.
Una consecuencia de esta configuración es que un atacante con una cuenta de Cloudflare puede enviar su carga maliciosa a través de la plataforma aprovechando el hecho de que todas las conexiones originadas desde Cloudflare están permitidas, incluso si el inquilino que inicia la conexión es nefasto.
"Un atacante puede configurar un dominio personalizado con Cloudflare y apuntar el registro DNS A a la dirección IP de la víctima", explicó Proksch.
"A continuación, el atacante desactiva todas las funciones de protección de ese dominio personalizado en su inquilino y canaliza sus ataques a través de la infraestructura de Cloudflare. Este enfoque permite a los atacantes eludir las funciones de protección de la víctima."
El segundo problema implica el abuso de las direcciones IP de Cloudflare incluidas en la lista de direcciones permitidas - que impide que el servidor de origen reciba tráfico de direcciones IP de visitantes individuales y lo limita a direcciones IP de Cloudflare - para transmitir entradas fraudulentas y atacar a otros usuarios de la plataforma.
Tras la revelación responsable el 16 de marzo de 2023, Cloudflare reconoció los hallazgos como informativos, añadiendo una nueva advertencia en su documentación.
"Tenga en cuenta que el certificado que Cloudflare le proporciona para configurar Authenticated Origin Pulls no es exclusivo de su cuenta, solo garantiza que una solicitud proviene de la red de Cloudflare", afirma ahora Cloudflare de forma explícita.
"Para una seguridad más estricta, deberías configurar Authenticated Origin Pulls con tu propio certificado y considerar otras medidas de seguridad para tu origen".
"El mecanismo 'Allowlist Cloudflare IP addresses' debe considerarse como defensa en profundidad, y no ser el único mecanismo para proteger los servidores de origen", dijo Proksch. "El mecanismo 'Authenticated Origin Pulls' debería configurarse con certificados personalizados en lugar del certificado de Cloudflare".
Certitude también descubrió previamente que es posible que los atacantes aprovechen los registros DNS "colgantes" para secuestrar subdominios pertenecientes a más de 1.000 organizaciones que abarcan gobiernos, medios de comunicación, partidos políticos y universidades, y probablemente los utilicen para la distribución de malware, campañas de desinformación y ataques de phishing.
"En la mayoría de los casos, el secuestro de subdominios podría evitarse eficazmente por los servicios en la nube mediante la verificación de la propiedad del dominio y no liberando inmediatamente los identificadores utilizados previamente para el registro", señaló el investigador de seguridad Florian Schweitzer.
Las revelaciones llegan cuando Akamai reveló que los adversarios están aprovechando cada vez más los algoritmos de generación de dominios (DGA) sembrados dinámicamente para evitar la detección y complicar el análisis, ampliando de hecho la vida útil de los canales de comunicación de mando y control (C2).
"Saber qué dominios DGA se activarán mañana nos permite incluirlos de forma proactiva en nuestras listas de bloqueo para proteger a los usuarios finales de las redes de bots", afirman los investigadores de seguridad Connor Faulkner y Stijn Tilborghs.
"Por desgracia, ese escenario no es posible con semillas impredecibles, como Google Trends, las temperaturas o los tipos de cambio de divisas. Aunque tengamos el código fuente de la familia, no somos capaces de predecir correctamente los nombres de dominio DGA generados en el futuro."
En agosto, un grupo de académicos de la Universidad de California en Irvine y de la Universidad de Tsinghua demostraron un ataque de envenenamiento de DNS denominado MaginotDNS que aprovecha fallos en los algoritmos de comprobación de bailiwick para apoderarse de zonas DNS enteras, incluso de dominios de primer nivel como .com y .net.
"La clave del descubrimiento de MaginotDNS es la inconsistencia de las implementaciones de bailiwick entre los distintos modos de DNS", señalaron los investigadores. "Las vulnerabilidades no perjudican a los reenviadores normales, ya que no realizan resoluciones de dominio recursivas, pero para los servidores DNS condicionales (CDNS) pueden tener graves consecuencias".
"El CDNS es un tipo de servidor DNS muy extendido pero aún no estudiado sistemáticamente. Está configurado para actuar simultáneamente como resolutor recursivo y reenviador, y los diferentes modos de servidor comparten la misma caché global. Como resultado, los atacantes pueden explotar las vulnerabilidades del forwarder y 'cruzar la frontera' - atacar resolvers recursivos en el mismo servidor."
Fuente: thehackernews