Si usas Cloudflare para proteger tu web, también podría estar en peligro debido a este fallo
Podemos decir que Cloudflare es una de las soluciones de ciberseguridad más importantes. Entre otras cosas, ofrece un firewall y protección contra ataques DDoS para mantener seguras las páginas web. Sin embargo, en este artículo te contamos cómo se puede eludir esta protección y por qué se trata de algo bastante peculiar. Un fallo permite que un atacante pueda aprovecharlo para pasar los controles de seguridad. Un problema para los clientes de Cloudflare, tanto particulares como empresas.
Pero, ¿qué es lo que utilizan realmente para evitar las protecciones DDoS de Cloudflare? Precisamente, Cloudflare. Utilizan este servicio para saltarse esos sistemas de protección. Un atacante, simplemente tiene que crear una cuenta gratuita de esta plataforma y usarla para llevar a cabo el ataque.
Fallo en Cloudflare
Para poder explotar este fallo de seguridad, sí es necesario que los atacantes sepan cuál es la dirección IP del servidor web objetivo. De esta forma, podrían aprovechar esa vulnerabilidad y atacar. Podrían llevar a cabo ataques DDoS que provoquen el mal funcionamiento de una página web o incluso que no esté disponible.
Detrás de este descubrimiento está el investigador de seguridad Stefan Proksch, que pertenece a Certitude. Descubrió que el problema reside en la estrategia que utiliza Cloudflare para aceptar conexiones. Existen dos vulnerabilidades en el sistema que son autenticación en origen y las direcciones IP que permite Cloudflare.
La primera, conocida en inglés como Authenticated Origin Pulls, es una característica de seguridad que proporciona este servicio para lograr que las solicitudes HTTP realmente sean de Cloudflare y no de otro servicio que esté intentando lanzar un ataque DDoS. Utiliza un certificado y autenticar solicitudes HTTP y evitar así solicitudes no autorizadas.
El problema es que, como indica el investigador de seguridad detrás de este descubrimiento, Cloudflare utiliza un mismo certificado para todos sus clientes y no uno específico para cada uno. Por tanto, esto permite todas las conexiones que se originen en Cloudflare. Esto permite eludir las funciones de protección que tenga la víctima.
Básicamente, significa que un atacante solo necesita tener una cuenta de Cloudflare y, a partir de ahí, dirigir tráfico malicioso a otros clientes de Cloudflare. Puede lanzar ataques DDoS contra la infraestructura de una empresa.
También hay que mencionar el problema que afecta a la lista de direcciones IP que permite Cloudflare. Esta medida, únicamente permite que el tráfico que llega a los servidores de origen de los clientes, se genere en un rango de direcciones de Cloudflare. Pero, una vez más, el atacante podría configurar un dominio con este servicio y afectar a la víctima.
Cómo evitar este problema
Pero, ¿qué podríamos hacer para evitar este tipo de problemas? Según indica Stefan Proksch, la única solución es utilizar certificados personalizados y no los generados por Cloudflare. Esto evita utilizar ese certificado compartido, que es una de las opciones que va a utilizar un atacante para lanzar estas amenazas.
También recomiendan definir un rango de direcciones IP de salida más específico, dedicado a cada cliente. Es otra medida más para limitar los posibles ataques que puedan suponer que una web deje de estar protegida. Puedes ver todo el informe de Certitude, donde detallan exactamente el problema y las posibles soluciones.
En definitiva, como ves Cloudflare sirve para proteger una página web, pero podrían incluso utilizar el propio servicio para lanzar ataques DDoS. Un problema que puede poner en riesgo el funcionamiento de muchos sitios web. Existen muchos ataques informáticos cada día, por lo que es fundamental tomar medidas para evitarlos.