Cloudflare修复ACME验证漏洞，防止绕过WAF访问源服务器

Cloudflare已解决了影响其自动证书管理环境(ACME)验证逻辑的安全漏洞，该漏洞使得绕过安全控制并访问源服务器成为可能。

Cloudflare的网络基础设施专家Hrushikesh Deshpande、Andrew Mitchell和Leland Garofalo表示："该漏洞源于我们的边缘网络处理发往ACME HTTP-01挑战路径(/.well-known/acme-challenge/*)请求的方式。"

该网络基础设施公司表示，没有发现任何证据表明该漏洞曾被恶意利用过。

漏洞背景

ACME是一种通信协议(RFC 8555)，它促进SSL/TLS证书的自动签发、续期和撤销。证书颁发机构(CA)为网站配置的每个证书都通过挑战验证来证明域名所有权。

这个过程通常通过像Certbot这样的ACME客户端来实现，通过HTTP-01(或DNS-01)挑战证明域名所有权并管理证书生命周期。HTTP-01挑战检查位于Web服务器"https://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>"路径上通过HTTP端口80的验证令牌和密钥指纹。

CA的服务器向该确切URL发出HTTP GET请求来检索文件。一旦验证成功，证书就会被签发，CA将ACME账户(即在其服务器上的注册实体)标记为有权管理该特定域名。

如果挑战被Cloudflare管理的证书订单使用，那么Cloudflare将在上述路径上响应并向调用者提供CA提供的令牌。但如果它与Cloudflare管理的订单不相关，请求就会路由到客户源服务器，该服务器可能使用不同的系统进行域名验证。

漏洞详情

该漏洞由FearsOff在2025年10月发现并报告，涉及ACME验证过程的有缺陷实现，导致对该URL的某些挑战请求禁用Web应用程序防火墙(WAF)规则，并允许其到达本应被阻止的源服务器。

换句话说，该逻辑未能验证请求中的令牌是否实际匹配该特定主机名的活跃挑战，实际上允许攻击者向ACME路径发送任意请求并完全绕过WAF保护，使他们能够到达源服务器。

"以前，当Cloudflare提供HTTP-01挑战令牌时，如果调用者请求的路径匹配我们系统中活跃挑战的令牌，提供ACME挑战令牌的逻辑会禁用WAF功能，因为Cloudflare会直接提供响应，"该公司解释道。

"这样做是因为这些功能可能会干扰CA验证令牌值的能力，并会导致自动化证书订单和续期失败。然而，在令牌与不同区域相关联且不由Cloudflare直接管理的情况下，请求将被允许继续进入客户源服务器，而不会被WAF规则集进一步处理。"

FearsOff的创始人兼首席执行官Kirill Firsov表示，恶意用户可以利用该漏洞获取确定性的长期令牌，并访问所有Cloudflare主机上源服务器的敏感文件，为侦察打开了大门。

修复措施

Cloudflare于2025年10月27日通过代码更改解决了该漏洞，仅当请求匹配该主机名的有效ACME HTTP-01挑战令牌时才提供响应并禁用WAF功能。

Q&A

Q1：ACME是什么？它在网络安全中起什么作用？

A：ACME是自动证书管理环境的通信协议，用于促进SSL/TLS证书的自动签发、续期和撤销。它通过HTTP-01或DNS-01挑战来验证域名所有权，确保只有合法的域名所有者才能获得证书，是现代网络安全基础设施的重要组成部分。

Q2：这个Cloudflare漏洞具体是怎么被利用的？

A：攻击者可以向ACME验证路径发送包含任意令牌的请求，由于Cloudflare的验证逻辑缺陷，系统会禁用WAF保护并将请求转发到源服务器。这使得攻击者能够绕过安全控制，访问本应被阻止的敏感文件和资源。

Q3：普通用户需要为这个漏洞担心吗？

A：不需要过度担心。Cloudflare已经在2025年10月27日修复了这个漏洞，且没有发现被恶意利用的证据。对于使用Cloudflare服务的用户，建议确保服务已更新到最新版本，并继续保持良好的安全实践。