CarderPlanet
Professional
Выяснилось, что брандмауэр и распределенные механизмы предотвращения атак типа "отказ в обслуживании" (DDoS) в Cloudflare можно обойти, используя пробелы в средствах управления безопасностью между клиентами, что противоречит самой цели этих мер предосторожности.
"Злоумышленники могут использовать свои собственные учетные записи Cloudflare для злоупотребления отношениями доверия между Cloudflare и веб-сайтами клиентов, что делает механизм защиты неэффективным", - сказал исследователь Certitude Стефан Прокш в отчете, опубликованном на прошлой неделе.
По мнению австрийской консалтинговой фирмы, проблема заключается в том, что общая инфраструктура доступна всем пользователям Cloudflare, независимо от того, являются ли они законными или нет, что облегчает злоумышленникам злоупотребление неявным доверием, связанным с сервисом, и преодоление барьеров.
Первая проблема связана с выбором общего сертификата Cloudflare для аутентификации HTTP-запросов между обратными прокси-серверами сервиса и исходным сервером клиента в рамках функции, называемой аутентифицированными исходными запросами.
Как следует из названия, аутентифицированные исходные запросы гарантируют, что запросы, отправляемые на исходный сервер для извлечения содержимого, когда оно недоступно в кэше, исходят от Cloudflare, а не от субъекта угрозы.
Следствием такой настройки является то, что злоумышленник с учетной записью Cloudflare может отправлять свою вредоносную полезную нагрузку через платформу, пользуясь тем фактом, что все соединения, исходящие из Cloudflare, разрешены, даже если клиент, инициирующий соединение, является злоумышленником.
"Злоумышленник может настроить пользовательский домен с помощью Cloudflare и указать DNS-запись A на IP-адрес жертвы", - объяснил Прокш.
"Затем злоумышленник отключает все функции защиты для этого пользовательского домена в своем клиенте и туннелирует свои атаки через инфраструктуру Cloudflare. Такой подход позволяет злоумышленникам обходить функции защиты жертвы".
Вторая проблема связана со злоупотреблением IP–адресами Cloudflare, включенными в список разрешений, из-за чего исходный сервер не может получать трафик с IP-адресов отдельных посетителей и ограничивает его IP-адресами Cloudflare, для передачи мошеннических данных и нацеливания на других пользователей платформы.
После ответственного раскрытия 16 марта 2023 года Cloudflare признала результаты информативными, добавив новое предупреждение в свою документацию.
"Обратите внимание, что сертификат, который Cloudflare предоставляет вам для настройки аутентифицированных исходящих запросов, не является эксклюзивным для вашей учетной записи и гарантирует только то, что запрос поступает из сети Cloudflare", - теперь в Cloudflare прямо указано.
"Для более строгой безопасности вам следует настроить аутентифицированные запросы Origin с вашим собственным сертификатом и рассмотреть другие меры безопасности для вашего origin".
"Механизм 'Allowlist IP addresses Cloudflare' следует рассматривать как комплексную защиту, а не как единственный механизм защиты исходных серверов", - сказал Прокш. "Механизм "аутентифицированных исходников" должен быть настроен с использованием пользовательских сертификатов, а не сертификата Cloudflare".
Ранее компания Certitude также обнаружила, что злоумышленники могут использовать "зависшие" записи DNS для захвата поддоменов, принадлежащих более чем 1000 организациям, охватывающим правительства, средства массовой информации, политические партии и университеты, и, вероятно, использовать их для распространения вредоносного ПО, кампаний по дезинформации и фишинговых атак.
"В большинстве случаев облачные сервисы могут эффективно предотвращать захват поддоменов с помощью проверки владения доменом, а не немедленного предоставления ранее использованных идентификаторов для регистрации", - отметил исследователь безопасности Флориан Швейцер.
Информация поступает по мере того, как Akamai сообщает, что злоумышленники все чаще используют алгоритмы генерации домена с динамическим заполнением (DGA), чтобы избежать обнаружения и усложнить анализ, эффективно продлевая срок службы командно-контрольных каналов связи (C2).
"Знание того, какие домены DGA будут активированы завтра, позволяет нам заблаговременно вносить эти домены в наши списки блокировки для защиты конечных пользователей от ботнетов", - сказали исследователи безопасности Коннор Фолкнер и Стейн Тилборгс.
"К сожалению, этот сценарий невозможен с непредсказуемыми исходными данными, такими как Google Trends, температуры или курсы иностранных валют. Даже если у нас есть исходный код семейства, мы не в состоянии правильно предсказать будущие доменные имена DGA ".
Еще в августе, группа ученых из Университета Калифорнии в Ирвине и Университет Цинхуа продемонстрировали в ДНС атака отравления называют MaginotDNS, который использует недостатки в вотчинах алгоритмы проверки, чтобы взять на себя всю DNS-зон, включая даже домены верхнего уровня, такие как .COM и .нет.
"Ключом к открытию MaginotDNS является несовместимость реализаций bailiwick между различными режимами DNS", - отметили исследователи. "Уязвимости не вредят обычным службам пересылки, поскольку они не выполняют рекурсивное разрешение домена, но для условных DNS-серверов (CDN) могут быть вызваны серьезными последствиями".
"CDNS - это распространенный тип DNS-сервера, который еще систематически не изучался. Он настроен на одновременное выполнение функций рекурсивного распознавателя и пересылки, а различные режимы сервера совместно используют один и тот же глобальный кэш. В результате злоумышленники могут воспользоваться уязвимостями переадресатора и "перейти границу" – атаковать рекурсивные распознаватели на одном сервере".
