Cloudflareを利用してCloudflareをバイパスする手法 8
バイパス 部門より
Cloudflare による保護のメカニズムを Cloudflare を用いてバイパスする手法について、発見した Certitude が解説している (Certitude Blog の記事、 Bleeping Computer の記事)。
Cloudflare を利用して Cloudflare のバイパスが可能になる原因は、すべてのテナントが利用可能な共有インフラストラクチャーにある。攻撃が成立するにはターゲットが特定の保護の仕組みを使用していることに加え、攻撃者がターゲットの IP アドレスを知っている必要はあるものの、攻撃者は Cloudflare でカスタムドメインを作成して DNS A レコードでターゲットの IP アドレスを指定するだけでいい。あとはすべての保護を無効化したカスタムドメインを通じて攻撃を実行すれば、ターゲットのオリジンサーバーを攻撃できる。
攻撃が可能になる問題を含む保護機能としては、トランスポート層の「Authenticated Origin Pulls」とネットワーク層の「Allowlist Cloudflare IP addresses」が挙げられている。前者は「非常にセキュア」と区分されているが、証明書のオプションで Cloudflare の証明書を選択すると攻撃が可能になる。顧客が自前で用意したカスタム証明書を使用することで攻撃は回避できるが、使用は API で設定する必要があり、多くの顧客が Cloudflare の証明書を選択していると考えられるとのこと。
「中程度にセキュア」と区分される後者の場合、Cloudflare の IP アドレス範囲からの接続のみをオリジンサーバーが許可することによる保護機能だ。そのため、Cloudflare を利用した接続はすべて許可されてしまう。攻撃は Cloudflare Aegis を使用すれば回避できるが、すべての顧客が利用できるわけではない。
Certitude は HackerOne 報奨金プログラムを通じて報告したが、Cloudflare が報告を緊急の対応を必要としない「参考になる (Informative)」と区分してバグをクローズしたため、一般公開することにしたという。Cloudflare に対しては、これらの攻撃から保護する仕組みの導入を推奨している。
そもそもCloudflareを使うな (スコア:0)
安全性に問題がある [0xacab.org]。
Re: (スコア:0)
そんな安全性に問題がありそうなリンクを貼られましても…
もしかして5chがDDoS攻撃で死亡しているのでコレ? (スコア:0)
ただ、これなら5chがカスタム証明書を用意すれば割と早急に対処できるよなぁ。
Re:もしかして5chがDDoS攻撃で死亡しているのでコレ? (スコア:1)
5chの運営にそんな能力があるだろうか。つい最近までbbs.cgiがIPv6非対応だったのをIPv6アドレスつけないことでごまかしていた(CloudFlareの仕様変更で強制的にIPv6アドレスが付けられて対応せざるを得なくなった)レベルなのに
Re: (スコア:0)
運営に能力がなくても、以前なら住民が対応したような。
※例えば帯域不足に対して圧縮転送するオプション入れたように
Re: (スコア:0)
なつかしい
unix板のflashとかありましたね
Re: (スコア:0)
アイツらってバックドア仕掛けられてクレカ情報お漏らししたあと、
被害サーバをフォーマットして再セットアップ(ただの証拠隠滅・犯人隠匿)しただけで再発防止とか言う馬鹿だもの。
他にも負荷対策(あるいは内部ツールの運用)に失敗してるだけなのに攻撃疑ってnetstat貼ってみたり、
匿名のニワカがそのCLOSE-WAIT状態のソケットが溜まってるのを「ソケットが沢山……SYN-flood?」
とか知ったかぶりしてるのに便乗して接続先アドレスはひろゆき達のシステムが入ってるサーバだ!攻撃だ!とか騒いだり。
……どう見てもSYN-floodでは無いしSYN-floodが成立してるならIPアドレスは無意味だろ…
最初から織り込み済みの仕様の範疇では? (スコア:0)
まあ仕組み上そうなるよね、といった感想しかない。
強いて言えばドキュメントの書き方がよろしくなかったとは言えるかもしれない。