Сегодня 01 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В системе защиты Cloudflare обнаружили опасную дыру — её уже заделали

В инструменте защиты Cloudflare Web Application Firewall (WAF) обнаружилась уязвимость, которая позволяла злоумышленникам обходить систему безопасности и открывать доступ к защищаемым сайтам, злоупотребляя механизмом проверки сертификата.

 Источник изображения: cloudflare.com

Источник изображения: cloudflare.com

Запросы к сайтам на адрес «/.well-known/acme-challenge/» доходили до них даже в тех случаях, когда настроенный клиентом WAF явным образом блокировал весь остальной трафик, обнаружили эксперты по кибербезопасности из компании FearsOff. Протокол автоматической среды проверки сертификатов ACME (Automatic Certificate Management Environment) позволяет автоматизировать проверку SSL/TLS-сертификатов, сверяя с центрами сертификации имя владельца домена. При реализации метода проверки HTTP-01 центр сертификации исходит из того, что сайт предоставляет одноразовый токен по адресу «/.well-known/acme-challenge/{token}». Этот путь существует почти для каждого современного сайта как сервисный маршрут при автоматической выдаче сертификатов.

Метод предполагает, что доступ реализуется только для бота проверки и одного конкретного файла — и это не должен быть открытый шлюз к исходному серверу. Тем не менее, даже конфигурация WAF, при которой блокируется глобальный доступ, и в разрешённые попадают лишь определённые источники, делала исключение для механизма проверки ACME HTTP-01. Чтобы подтвердить свою гипотезу, эксперты создали домены третьего уровня для основного сайта компании и обнаружили, что если запрошенный токен не соответствовал порядку управляемых Cloudflare сертификатов, при запросе проверка WAF попросту обходилась, и любому посетителю открывался прямой доступ к сайту клиента. Это породило целую череду уязвимостей при работе, в частности, с приложениями Spring/Tomcat, Next.js и PHP. И даже если пользователь вручную настраивал соответствующие правила блокировки, система игнорировала их, чтобы не мешать проверке данных для центров сертификации.

Специалисты FearsOff сообщили Cloudflare об обнаруженной уязвимости 9 октября 2025 года, Cloudflare начала проверку 13 октября, подтверждение на платформе HackerOne пришло 14 октября. Проблему исправили 27 октября — защитный механизм изменили таким образом, чтобы функции безопасности отключались лишь тогда, когда запросы соответствуют действительным токенам проверки ACME HTTP-01 для конкретного имени хоста. Дальнейшее тестирование показало, что правила WAF теперь применяются единообразно ко всем путям, в том числе для уязвимого ранее ACME. От клиентов Cloudflare никаких действий не требуется, и признаков злонамеренной эксплуатации уязвимости обнаружено не было.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft выпустила публичное превью WSL Containers для запуска контейнеров Linux в Windows 5 ч.
Уязвимость BlueHammer в Windows Defender не потеряла актуальность, несмотря на апрельский патч 5 ч.
Журналисты раскрыли масштаб будущих увольнений в Xbox — под угрозой закрытия оказалась даже Arkane Studios и её Marvel’s Blade 7 ч.
ИИ научили говорить как пещерный человек — чтобы экономить миллионы на токенах 7 ч.
Meta не сумела отделаться от иска о детской зависимости от соцсетей — суд состоится 18 августа 9 ч.
Улыбаемся и машем: Quantic Dream отвергла опасения работников о судьбе Star Wars Eclipse 10 ч.
Последняя игра легендарного арт-директора Half-Life 2 отправит геймеров в апокалиптический вестерн — первый трейлер и детали Guns of Eschaton 11 ч.
Релиз российской ОС SelectOS 2.0: повышенная защищённость и поддержка ИИ-нагрузок 11 ч.
Соавтор Dragon Age назвал ИИ «страшной чумой», которая мешает разработчикам осваивать ремесло создания игр 12 ч.
Вышло официальное приложение OpenClaw для управления ИИ-агентами со смартфона 12 ч.
Новая статья: Ryzen и двухранговая DDR5: проверяем комплект G.Skill Trident Z5 Royal DDR5-6400 CL32 64GB 5 ч.
Южная Корея инвестирует почти $3 трлн в полупроводники и ИИ 6 ч.
Titan Army показала безочковый 3D-монитор M27E6V-3D с 4K, 190 Гц и очень высокой яркостью для геймеров 8 ч.
В эпоху «автоматизированной дезинформации» стало слишком легко заявлять об обнаружении инопланетян 10 ч.
Xiaomi выпустила смартфон Redmi K90 Ultra — Snapdragon 8 Elite, вентилятор и батарея на 8550 мА·ч по цене от $420 10 ч.
Проприетарные беспроводные зарядки скоро канут в Лету — на подходе единый стандарт Qi 50 Вт 10 ч.
Грядущие складные смартфоны Samsung Galaxy Z 8 Fold и Flip показались до анонса 11 ч.
Первые модули DDR5 с поддержкой AMD EXPO Ultra Low Latency оказались до 79 % дороже обычных 12 ч.
Firmus при поддержке NVIDIA развернёт в Индонезии ИИ-кластер из 170 тыс. ускорителей 13 ч.
Dreame выпустила в России робот-пылесос L60 Pro Ultra за 110 тыс. рублей 13 ч.