TokyoBlackHatNews

cyberwarriorsmiddleeast.com 4分で読了

攻撃者がCloudflareのゼロデイを悪用し、ACME証明書検証を用いてWAFを回避

Cloudflareのゼロデイ脆弱性を理解する

急速に進化するWebセキュリティの世界では、脆弱性がサービス提供者とその顧客の双方に重大なリスクをもたらし得ます。Cloudflareのセキュリティアーキテクチャで最近発見されたゼロデイ脆弱性は、大規模環境におけるセキュリティ例外の取り扱いに関する重大な問題を浮き彫りにしました。本記事では、この脆弱性、その影響、そして実施された是正措置について詳しく解説します。

脆弱性は何だったのか?

2025年10月9日、FearsOffのセキュリティ研究者がCloudflareのインフラ内に深刻な欠陥を公表しました。これにより攻撃者は、同社のWebアプリケーションファイアウォール(WAF)を回避できました。問題の核心は、CloudflareがAutomatic Certificate Management Environment(ACME)の証明書検証向けトラフィックをどのように処理していたかにありました。具体的には、悪意ある行為者が、ACMEチャレンジパス(特に/.well-known/acme-challenge/*にあるエンドポイント)宛てのリクエスト処理におけるロジックエラーを悪用できました。

ACMEの役割

ACMEは、SSL/TLS証明書の管理を効率化するために設計された自動化プロトコルです。このプロセスでは、証明書発行のためにドメイン検証が不可欠です。その一環として、ACMEプロトコルは、証明書認証局からの検証リクエストに対し、既知のURLにホストされた特定のトークンでドメインが応答することを要求します。Cloudflareで管理されているドメインについては、同社がエッジでこれらのリクエストを直接処理します。

Cloudflareのシステムにおけるロジック欠陥

Cloudflareは、ACMEチャレンジパスに到達したリクエストに対して、特定のWAF機能を意図的に無効化していました。この判断の根拠は明確で、WAF保護が有効だと正当な証明書検証リクエストを誤ってブロックしてしまう可能性があるためです。しかし、この実装には重大な見落としがありました。ロジックが、リクエスト内のトークンが当該ドメインの有効なチャレンジに紐づいているかどうかを検証していなかったのです。

脆弱性の悪用

この見落としにより、Cloudflareの防御機構に重大な隙が生まれました。攻撃者はACMEパスを悪用して任意のリクエストを送信し、有効な証明書チャレンジが存在するかどうかに関係なく、顧客が設定したすべてのWAFルールを完全に回避できました。その結果、この仕組みは事実上「万能のWAF回避手段」と化し、クライアントを潜在的な脅威にさらしました。

確認と技術的な洞察

2025年10月13日、Cloudflareはこの脆弱性を公に認め、ACMEチャレンジリクエストに対するWAF保護が損なわれていたことを確認しました。具体的には、アクティブなACMEトークンに一致するリクエストでは、別のゾーンに属していたり外部の証明書ワークフローに関連していたりする場合でも、WAF機能が無効化されていました。そのため、リクエストは検査されないまま顧客のオリジンサーバーへ転送され、不正アクセスに対して無防備な状態となっていました。

この状況により、顧客がバックエンドインフラを保護するために導入していると信じていたセキュリティ制御を迂回する、直接的な経路が生まれていました。

緩和策

脆弱性への対応として、Cloudflareはエッジのロジックを迅速に更新しました。新しいアプローチでは、次の条件を満たす場合にのみWAF保護が無効化されます。

  1. リクエストが、特定のホスト名に対する有効なACME HTTP-01チャレンジトークンに一致すること。
  2. Cloudflareがチャレンジ応答を提供できること。

ACMEパス宛てのそれ以外のすべてのリクエストは、既存のWAFルールセットに従って処理されるようになり、悪用されていた抜け穴は実質的に塞がれました。

ユーザーへの影響

Cloudflareは顧客に対し、この脆弱性を緩和するために顧客側で直ちに対応する必要はないと説明しました。また、修正を実装する前に脆弱性が悪用された形跡は検知していないとも伝えました。これは重要な点で、脆弱性自体は深刻だったものの、攻撃者により悪用されて被害が生じる前に対処できていたことを示しています。

最後に

今回のCloudflareの脆弱性は、Webセキュリティの複雑さ、とりわけSSL/TLS証明書のような重要サービスの管理に自動化プロセスを用いる場合の難しさを痛感させるものです。組織は、この種の脆弱性に伴うリスクを最小化するため、セキュリティプロトコルの監視において常に警戒し、能動的である必要があります。デジタル環境が進化し続ける中、堅牢なセキュリティ態勢を維持することは、あらゆるWebサービス提供者にとって不可欠となるでしょう。

Cloudflareの脆弱性のような事例を理解することで、サービス提供者とユーザーの双方が、自らのデジタル資産を安全に保つ仕組みや、目前に迫り得る潜在的脅威について貴重な洞察を得ることができます。

翻訳元: https://cyberwarriorsmiddleeast.com/attackers-exploit-cloudflare-zero-day-to-bypass-waf-using-acme-certificate-validation/

ソース: cyberwarriorsmiddleeast.com
#ACME #Cloudflare #HTTP-01チャレンジ #SSL/TLS証明書 #WAFバイパス #Webセキュリティ #エッジセキュリティ #ゼロデイ脆弱性 #ロジック不備 #脆弱性対策

関連記事

Fortinet管理者による「修正済み」FortiOS 7.4.9ファームウェアでの活発な悪用報告

増大する脅威:デュアルチャネル攻撃が2026年のビジネスメール詐欺に革命をもたらす

サイバー攻撃でイタリア最大の大学ラ・サピエンツァが停止