Resultó que la protección DDoS de Cloudflare puede eludirse utilizando los instrumentos que ofrece la propia Cloudflare. Stefan Proksch, un ingeniero de seguridad austriaco, descubrió la vulnerabilidad aprovechando ciertos fallos lógicos en la gestión de la seguridad entre clientes. Lo único que necesitaba era una cuenta gratuita de Cloudflare y la IP de destino.
El problema está relacionado con la infraestructura común de Cloudflare, que recibe conexiones de todos los usuarios teniendo a la vez dos vulnerabilidades - una relativa a las peticiones de Authenticated Origin Pulls y otra relativa a la allowlist.
Authenticated Origin Pulls es la función que se encarga de que las peticiones enviadas al servidor de origen pasen por Cloudflare (y no por un potencial ciberdelincuente). Los servidores proxy inversos de Cloudflare utilizan certificados SSL para autenticarse ante el servidor de origen (el servidor donde está alojado el sitio web). Esto ayuda a garantizar que la comunicación entre Cloudflare y el servidor de origen sea segura.
Un atacante podría aprovecharse de estas vulnerabilidades haciendo lo siguiente:
- El atacante configura un dominio personalizado con Cloudflare y apunta el registro DNS A a la dirección IP de la víctima (el servidor de origen).
- A continuación, el atacante desactiva todas las funciones de protección para ese dominio personalizado en su inquilino de Cloudflare.
- Ahora puede enrutar sus ataques a través de la infraestructura de Cloudflare utilizando el certificado compartido, eludiendo eficazmente las funciones de protección configuradas por la víctima.
Según Proksch, su problema de seguridad sólo puede mitigarse utilizando certificados personalizados. Sin embargo, el uso de certificados personalizados requiere que los clientes creen y mantengan sus propios certificados pull de origen, lo que puede resultar menos cómodo que utilizar el certificado de Cloudflare.
