パスワードを忘れた? アカウント作成
17397954 story
クラウド

Cloudflareを利用してCloudflareをバイパスする手法 8

ストーリー by nagazou
バイパス 部門より
headless 曰く、

Cloudflare による保護のメカニズムを Cloudflare を用いてバイパスする手法について、発見した Certitude が解説している (Certitude Blog の記事Bleeping Computer の記事)。

Cloudflare を利用して Cloudflare のバイパスが可能になる原因は、すべてのテナントが利用可能な共有インフラストラクチャーにある。攻撃が成立するにはターゲットが特定の保護の仕組みを使用していることに加え、攻撃者がターゲットの IP アドレスを知っている必要はあるものの、攻撃者は Cloudflare でカスタムドメインを作成して DNS A レコードでターゲットの IP アドレスを指定するだけでいい。あとはすべての保護を無効化したカスタムドメインを通じて攻撃を実行すれば、ターゲットのオリジンサーバーを攻撃できる。

攻撃が可能になる問題を含む保護機能としては、トランスポート層の「Authenticated Origin Pulls」とネットワーク層の「Allowlist Cloudflare IP addresses」が挙げられている。前者は「非常にセキュア」と区分されているが、証明書のオプションで Cloudflare の証明書を選択すると攻撃が可能になる。顧客が自前で用意したカスタム証明書を使用することで攻撃は回避できるが、使用は API で設定する必要があり、多くの顧客が Cloudflare の証明書を選択していると考えられるとのこと。

「中程度にセキュア」と区分される後者の場合、Cloudflare の IP アドレス範囲からの接続のみをオリジンサーバーが許可することによる保護機能だ。そのため、Cloudflare を利用した接続はすべて許可されてしまう。攻撃は Cloudflare Aegis を使用すれば回避できるが、すべての顧客が利用できるわけではない。

Certitude は HackerOne 報奨金プログラムを通じて報告したが、Cloudflare が報告を緊急の対応を必要としない「参考になる (Informative)」と区分してバグをクローズしたため、一般公開することにしたという。Cloudflare に対しては、これらの攻撃から保護する仕組みの導入を推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年10月03日 11時51分 (#4539271)
    • by Anonymous Coward

      そんな安全性に問題がありそうなリンクを貼られましても…

  • by Anonymous Coward on 2023年10月03日 14時50分 (#4539368)

    ただ、これなら5chがカスタム証明書を用意すれば割と早急に対処できるよなぁ。

    • by Anonymous Coward on 2023年10月03日 18時20分 (#4539565)

      5chの運営にそんな能力があるだろうか。つい最近までbbs.cgiがIPv6非対応だったのをIPv6アドレスつけないことでごまかしていた(CloudFlareの仕様変更で強制的にIPv6アドレスが付けられて対応せざるを得なくなった)レベルなのに

      親コメント
      • by Anonymous Coward

        運営に能力がなくても、以前なら住民が対応したような。
        ※例えば帯域不足に対して圧縮転送するオプション入れたように

        • by Anonymous Coward

          なつかしい
          unix板のflashとかありましたね

      • by Anonymous Coward

        アイツらってバックドア仕掛けられてクレカ情報お漏らししたあと、
        被害サーバをフォーマットして再セットアップ(ただの証拠隠滅・犯人隠匿)しただけで再発防止とか言う馬鹿だもの。

        他にも負荷対策(あるいは内部ツールの運用)に失敗してるだけなのに攻撃疑ってnetstat貼ってみたり、
        匿名のニワカがそのCLOSE-WAIT状態のソケットが溜まってるのを「ソケットが沢山……SYN-flood?」
        とか知ったかぶりしてるのに便乗して接続先アドレスはひろゆき達のシステムが入ってるサーバだ!攻撃だ!とか騒いだり。
        ……どう見てもSYN-floodでは無いしSYN-floodが成立してるならIPアドレスは無意味だろ…

  • by Anonymous Coward on 2023年10月03日 20時40分 (#4539689)

    まあ仕組み上そうなるよね、といった感想しかない。
    強いて言えばドキュメントの書き方がよろしくなかったとは言えるかもしれない。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...