Cloudflare已修复其Web应用防火墙(WAF)中的一个缺陷,该缺陷允许攻击者绕过安全规则直接访问源服务器,可能导致数据盗窃或服务器完全被接管。
FearsOff安全研究人员在10月通过Cloudflare的漏洞赏金计划报告了这个漏洞,该CDN公司表示已修补其ACME(自动证书管理环境)验证逻辑中的漏洞,客户无需采取任何行动。
ACME是证书颁发机构和Cloudflare等服务用于自动化SSL/TLS证书颁发、更新和撤销的协议。它使用挑战来证明域名所有权,然后再颁发安全证书,这通常通过HTTP-01挑战完成,该挑战按以下格式检查HTTP路径上的验证令牌:http://{客户域名}/.well-known/acme-challenge/{令牌值}。
网络威胁狩猎公司在其报告中将WAF比作前门,将ACME比作走廊,该走廊应该只供证书机器人用来验证域名所有权。正确配置后,WAF可以帮助让预期的验证流量通过,同时过滤掉许多恶意请求,包括自动化机器人。
"证书机器人的走廊永远不应该成为侧门,"FearsOff研究人员写道。
这个"侧门"是由Cloudflare处理某些ACME挑战请求时的逻辑缺陷造成的。
"以前,当Cloudflare提供HTTP-01挑战令牌时,如果调用者请求的路径与我们系统中活跃挑战的令牌匹配,提供ACME挑战令牌的逻辑会禁用WAF功能,因为Cloudflare会直接提供响应,"Cloudflare在周一的博客中解释道。
"这样做是因为这些功能可能会干扰证书颁发机构验证令牌值的能力,并会导致自动化证书订购和更新失败,"它继续说道。
然而,这种情况下的逻辑未能验证请求中的令牌是否与主机名的活跃挑战匹配,这将允许攻击者完全绕过WAF安全控制并到达源服务器。
Cloudflare在10月27日通过推送代码修复了这个缺陷,该代码只有在请求与主机名的有效ACME HTTP-01挑战令牌匹配时才允许禁用WAF功能。
虽然没有证据表明恶意分子在Cloudflare修复问题之前发现并滥用了这个安全漏洞,但漏洞猎手表示,面对生成式AI驱动的攻击,这种类型的WAF绕过对组织构成了更大的威胁。
"由机器学习驱动的自动化工具可以快速枚举和利用暴露的路径,如/.well-known/acme-challenge/,大规模探测框架特定的弱点或错误配置,"FearsOff在周一的分析中写道。"例如,训练用于识别servlet遍历怪癖或PHP路由漏洞的生成式AI模型可以将这种绕过与有针对性的有效载荷链接起来,将狭窄的维护路径转变为广泛的攻击载体。"
Q&A
Q1:什么是WAF绕过漏洞?
A:WAF绕过漏洞是指攻击者能够绕过Web应用防火墙安全规则直接访问源服务器的安全缺陷。在这个案例中,Cloudflare的ACME验证逻辑存在缺陷,未能正确验证挑战令牌与主机名的匹配关系,导致攻击者可以完全绕过WAF保护。
Q2:ACME协议是什么作用?
A:ACME是自动证书管理环境协议,用于自动化SSL/TLS证书的颁发、更新和撤销。它通过挑战来证明域名所有权,通常使用HTTP-01挑战检查特定路径上的验证令牌,格式为http://{域名}/.well-known/acme-challenge/{令牌值}。
Q3:生成式AI如何加剧WAF绕过威胁?
A:生成式AI驱动的自动化工具可以快速枚举和利用暴露路径,大规模探测框架弱点或错误配置。训练过的生成式AI模型能够识别特定漏洞并将WAF绕过与有针对性攻击载荷链接,将原本狭窄的维护路径转变为广泛的攻击载体。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。