Cloudflareは、攻撃者がセキュリティルールを回避してオリジンサーバーへ直接アクセスできてしまう同社のWebアプリケーションファイアウォール(WAF)の欠陥を修正した。これにより、データ窃取やサーバーの完全乗っ取りにつながる可能性があった。
FearsOffのセキュリティ研究者は10月、Cloudflareのバグバウンティプログラムを通じてこのバグを報告。CDN事業者であるCloudflareは、ACME(Automatic Certificate Management Environment)の検証ロジックにおける脆弱性を修正し、顧客側での対応は不要だとしている。
ACMEは、認証局やCloudflareのようなサービスがSSL/TLS証明書の発行、更新、失効を自動化するために用いるプロトコルだ。
証明書を発行する前にドメイン所有権を証明するためのチャレンジを使用し、通常は次の形式に従うHTTPパス上の検証トークンを確認するHTTP-01チャレンジで行われる: http://{顧客ドメイン}/.well-known/acme-challenge/{トークン値}。
同社の報告では、サイバー脅威ハンティング企業はWAFを玄関ドアに、ACMEをドメイン所有権を確認するために証明書ロボットだけが使うべき廊下にたとえている。正しく設定されていれば、WAFは想定された検証トラフィックを通しつつ、自動化ボットを含む多くの悪意あるリクエストをフィルタリングできる。
「証明書ロボットの廊下が、決して裏口になってはならない」と、FearsOffの研究者は書いている。
今回の「裏口」は、Cloudflareが一部のACMEチャレンジ要求を処理する方法におけるロジック欠陥によって生じた。
「以前は、CloudflareがHTTP-01チャレンジトークンを提供している際、呼び出し元が要求したパスが当社システム内のアクティブなチャレンジのトークンと一致すると、ACMEチャレンジトークンを提供するロジックがWAF機能を無効化していました。Cloudflareが応答を直接提供するためです」とCloudflareは月曜のブログで説明した。
「これは、それらの機能が(認証局の)トークン値の検証能力を妨げ、自動化された証明書の発注や更新で失敗を引き起こす可能性があるためです」と続けた。
しかしこのケースでは、リクエスト内のトークンがそのホスト名に対するアクティブなチャレンジと一致していることを検証できておらず、その結果、攻撃者がWAFのセキュリティ制御を完全に回避してオリジンサーバーに到達できてしまった。
Cloudflareは10月27日、リクエストがホスト名に対する有効なACME HTTP-01チャレンジトークンと一致する場合にのみWAF機能を無効化できるようにするコードを投入して、この欠陥を修正した。
Cloudflareが問題を修正する前に不正者がこのセキュリティホールを見つけて悪用した証拠はないものの、バグハンターは、この種のWAF回避はAI主導の攻撃の前では組織にとってさらに大きな脅威になると述べている。
「機械学習で駆動される自動化ツールは、/.well-known/acme-challenge/ のように露出したパスを迅速に列挙して悪用し、フレームワーク固有の弱点や設定ミスを大規模に探り当てられます」とFearsOffは月曜の分析で書いた。「たとえば、サーブレットのトラバーサルの癖やPHPのルーティングバグを特定するよう訓練されたAIモデルなら、この回避を狙い撃ちのペイロードと連鎖させ、狭い保守用パスを広範な攻撃ベクターへと変えられるでしょう。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/20/cloudflare_fixes_acme_validation/
