Сегодня 01 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В системе защиты Cloudflare обнаружили опасную дыру — её уже заделали

В инструменте защиты Cloudflare Web Application Firewall (WAF) обнаружилась уязвимость, которая позволяла злоумышленникам обходить систему безопасности и открывать доступ к защищаемым сайтам, злоупотребляя механизмом проверки сертификата.

 Источник изображения: cloudflare.com

Источник изображения: cloudflare.com

Запросы к сайтам на адрес «/.well-known/acme-challenge/» доходили до них даже в тех случаях, когда настроенный клиентом WAF явным образом блокировал весь остальной трафик, обнаружили эксперты по кибербезопасности из компании FearsOff. Протокол автоматической среды проверки сертификатов ACME (Automatic Certificate Management Environment) позволяет автоматизировать проверку SSL/TLS-сертификатов, сверяя с центрами сертификации имя владельца домена. При реализации метода проверки HTTP-01 центр сертификации исходит из того, что сайт предоставляет одноразовый токен по адресу «/.well-known/acme-challenge/{token}». Этот путь существует почти для каждого современного сайта как сервисный маршрут при автоматической выдаче сертификатов.

Метод предполагает, что доступ реализуется только для бота проверки и одного конкретного файла — и это не должен быть открытый шлюз к исходному серверу. Тем не менее, даже конфигурация WAF, при которой блокируется глобальный доступ, и в разрешённые попадают лишь определённые источники, делала исключение для механизма проверки ACME HTTP-01. Чтобы подтвердить свою гипотезу, эксперты создали домены третьего уровня для основного сайта компании и обнаружили, что если запрошенный токен не соответствовал порядку управляемых Cloudflare сертификатов, при запросе проверка WAF попросту обходилась, и любому посетителю открывался прямой доступ к сайту клиента. Это породило целую череду уязвимостей при работе, в частности, с приложениями Spring/Tomcat, Next.js и PHP. И даже если пользователь вручную настраивал соответствующие правила блокировки, система игнорировала их, чтобы не мешать проверке данных для центров сертификации.

Специалисты FearsOff сообщили Cloudflare об обнаруженной уязвимости 9 октября 2025 года, Cloudflare начала проверку 13 октября, подтверждение на платформе HackerOne пришло 14 октября. Проблему исправили 27 октября — защитный механизм изменили таким образом, чтобы функции безопасности отключались лишь тогда, когда запросы соответствуют действительным токенам проверки ACME HTTP-01 для конкретного имени хоста. Дальнейшее тестирование показало, что правила WAF теперь применяются единообразно ко всем путям, в том числе для уязвимого ранее ACME. От клиентов Cloudflare никаких действий не требуется, и признаков злонамеренной эксплуатации уязвимости обнаружено не было.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Это больше похоже на шутку»: Sony разочаровала подписчиков анонсом июльской подборки игр PS Plus 8 мин.
Разработчики Subnautica 2 всё-таки получат от Krafton заслуженные денежные бонусы, а старый новый гендиректор опять покидает студию 2 ч.
Пользователи Claude встретили возвращение Fable 5 волной критики из-за новых ограничений 2 ч.
Samsung закроет свой мессенджер в пользу аналога Google в этом месяце 3 ч.
Издатель Warhammer 40,000: Battlesector спас Warhammer Blood Bowl от неплатёжеспособной Nacon 3 ч.
Австрия призвала Евросоюз привлечь Anthropic на свою территорию после введённых США ограничений на передовые ИИ-модели 3 ч.
«Дело было не в деньгах»: бывший босс PlayStation объяснил, зачем Sony начала выпускать свои эксклюзивы на ПК 4 ч.
Google радикально усложнила разблокировку смартфонов на Android 17 4 ч.
Sony полностью прекратит выпускать диски с играми для PlayStation с января 2028 года 5 ч.
CNews снова поставил Basis Workplace на первое место в рейтинге VDI 5 ч.
iPhone обвинили в падении рождаемости — они «сыграли значительную роль» в снижении незапланированных беременностей в США 2 ч.
В Тайване арестованы сотрудники Supermicro по делу о контрабанде чипов Nvidia в Китай 2 ч.
Meta задумала стать облачным провайдером и продавать доступ к своим ИИ-суперкомпьютерам, как AWS и Google Cloud 2 ч.
Acer представила 27-дюймовый геймерский монитор Nitro XV273U F5 с разгоном до 1000 Гц за $700 3 ч.
Китайские автопроизводители ускоренно отказываются от иностранных чипов — из-за риска санкций 3 ч.
Сайты OnePlus стали рекламировать смартфоны Oppo вместо своих новинок 3 ч.
Sony объявила об окончательном закрытии PlayStation Store для консолей PS3 и PS Vita 3 ч.
NASA заказало ещё четыре посадки на Луну — чтобы американская база появилась там раньше китайской 3 ч.
Etched заключил контракты на поставку чипов для ИИ-инференса более чем на $1 млрд 4 ч.
Китайская BYD снова обгонит Tesla по продажам электромобилей 4 ч.