TokyoBlackHatNews

gbhackers.com 4分で読了

Cloudflareのゼロデイ欠陥により、攻撃者がセキュリティを回避して任意のホストにアクセス可能に

CloudflareのWebアプリケーションファイアウォール(WAF)に存在した重大なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジンサーバーへ直接アクセスできる状態になっていました。

FearsOffのセキュリティ研究者は2025年10月9日、特定の証明書検証パスを狙ったリクエストが、未承認トラフィックを遮断するために顧客が設定したWAFルールを完全に迂回できることを発見しました。

この脆弱性は、Automatic Certificate Management Environment(ACME)プロトコルで使用されるパスを悪用していました。

ACMEは、認証局が特定のURLパターン( /.well-known/acme-challenge/{token})を通じてドメイン所有権を検証することで、SSL/TLS証明書の発行を自動化します。

このパスは、本来証明書検証ロボットがドメイン所有権を確認するためだけに使われる、狭く制御されたゲートウェイであるはずです。

Cloudflareのエッジネットワークには、このACMEチャレンジパスへのリクエスト処理方法にロジック上の欠陥がありました。

任意のリクエストが /.well-known/acme-challenge/* を対象にすると、正当な証明書検証への干渉を防ぐために、システムがWAFのセキュリティ機能を無効化していました。

しかしコードは、リクエスト内のトークンがそのホスト名に対する有効でアクティブなチャレンジと実際に一致しているかどうかを検証していませんでした。

その結果、攻撃者はACMEパスに任意のリクエストを送ることで、WAF保護を回避して完全に迂回し、オリジンサーバーへ直接到達できました。

Image
エラーメッセージ(出典: fearsoff)

FearsOffの研究者は、このバイパスの深刻さを示すためにデモ環境を作成しました。

彼らは、cf-php.fearsoff.org、cf-spring.fearsoff.org、cf-nextjs.fearsoff.org を含むテストドメインへのすべてのトラフィックをブロックするWAFルールを設定しました。

これらのドメインへの通常のリクエストは正しくCloudflareのブロックページを返しました。しかし、同一のリクエストでもACMEチャレンジパスを対象にすると、すべてのセキュリティ制御を回避してオリジンサーバーから直接応答が返ってきました。

影響は単なるアクセスにとどまりませんでした。Spring Bootアプリケーションでは、研究者がサーブレットパストラバーサル手法(例: ..;/)を用いて、/actuator/env などの機微なアクチュエータエンドポイントにアクセスし、環境変数、データベース認証情報、APIトークンを露出させました。

Next.jsアプリケーションでは、サーバーサイドレンダリングのロジックが、本来公開されるべきではない運用上の詳細を露出します。ローカルファイルインクルージョン脆弱性を持つPHPアプリケーションは悪用可能となり、攻撃者が /etc/hosts のようなシステムファイルを読み取れるようになりました。

アカウントレベルのルールが完全に無視される

これがフレームワークのエラーページに限定されないことを確認するため、研究者は特定のテストヘッダー(X-middleware-subrequest)を含むリクエストをブロックするアカウントレベルのWAFルールを設定しました。通常のパスでは、これらのルールはフラグ付きリクエストを正しくブロックしました。

しかし、同一のリクエストでもACMEチャレンジパスを対象にすると、評価されることなく通過が許可されました。

これは、ヘッダー連結によるSQLインジェクション、X-Forwarded-Host を介したサーバーサイドリクエストフォージェリ、キャッシュポイズニング、HTTPメソッドオーバーライドのトリックなど、ヘッダーベースの攻撃の広範なクラスが脆弱なオリジンに到達し得ることを意味しました。

Cloudflareは2025年10月27日に恒久的な修正を展開し、ACMEチャレンジのロジックを変更して、リクエストトークンがそのホスト名に対する有効でアクティブなチャレンジと一致する場合にのみWAF機能を無効化するようにしました。

脆弱性のタイムラインは責任ある開示を示しています。報告は10月9日にHackerOne経由で提出され、ベンダーによる検証は10月13日に開始、HackerOneが10月14日にトリアージを実施し、最終修正は10月27日に展開されました。

Cloudflareは確認し、顧客側での対応は不要であり、悪意ある悪用の証拠は見つからなかったと述べました。

この協力には、独立検証のためのCrypto.comセキュリティチームが関与しました。また、パッチを迅速化するためにCloudflare CEOのMatthew Princeと直接連携しました。

このバグは、自動化のために意図されたメンテナンス用パスが、異なるコードパス間でセキュリティ制御の適用が一貫しない場合に危険な攻撃ベクトルになり得ることを浮き彫りにしています。

翻訳元: https://gbhackers.com/cloudflare-zero-day-flaw-bypass-security/

ソース: gbhackers.com
#ACME #Cloudflare #SSRF #TLS証明書 #WAF回避 #オリジンサーバー #キャッシュポイズニング #ゼロデイ脆弱性 #パストラバーサル #責任ある開示

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚