2026.01.27

Cloudflare 0Day漏洞可繞過防護(hù)直接訪問任意主機(jī)服務(wù)器

Cloudflare Web應(yīng)用防火墻（WAF）存在一個高危0Day漏洞，攻擊者可借此繞過安全控制措施，通過證書驗(yàn)證路徑直接訪問受保護(hù)的主機(jī)服務(wù)器。

FearsOff安全研究人員發(fā)現(xiàn)，針對_/.well-known/acme-challenge/目錄的請求能夠直達(dá)主機(jī)服務(wù)器，即使客戶配置的WAF規(guī)則已明確攔截所有其他流量。

自動證書管理環(huán)境（ACME）協(xié)議通過要求證書頒發(fā)機(jī)構(gòu)（CA）驗(yàn)證域名所有權(quán)來自動完成SSL/TLS證書驗(yàn)證。

在HTTP-01驗(yàn)證方法中，CA要求網(wǎng)站在/.well-known/acme-challenge/{token}_路徑提供一次性令牌。

該路徑幾乎存在于所有現(xiàn)代網(wǎng)站中，作為自動化證書頒發(fā)的靜默維護(hù)通道。

設(shè)計(jì)初衷是將此訪問權(quán)限限制在單個驗(yàn)證機(jī)器人檢查特定文件，而非作為通往主機(jī)服務(wù)器的開放網(wǎng)關(guān)。

1、漏洞分析

FearsOff研究人員在審查WAF配置攔截全局訪問、僅允許特定來源的應(yīng)用時發(fā)現(xiàn)了該漏洞。

測試表明，針對ACME挑戰(zhàn)路徑的請求會完全繞過WAF規(guī)則，使主機(jī)服務(wù)器直接響應(yīng)而非返回Cloudflare攔截頁面。

為確認(rèn)這不是租戶特有的配置錯誤，研究人員在cf-php.fearsoff.org、cf-spring.fearsoff.org和cf-nextjs.fearsoff.org創(chuàng)建了受控演示主機(jī)。

對這些主機(jī)的正常請求如預(yù)期般遭遇攔截頁面，但ACME路徑請求卻返回了主機(jī)生成的響應(yīng)（通常是框架404錯誤）。

 

該漏洞源于Cloudflare邊緣網(wǎng)絡(luò)對ACME HTTP-01挑戰(zhàn)路徑的處理邏輯。

當(dāng)Cloudflare為其托管的證書訂單提供挑戰(zhàn)令牌時，系統(tǒng)會禁用WAF功能以防止干擾CA驗(yàn)證。

但存在一個關(guān)鍵缺陷：如果請求的令牌與Cloudflare托管的證書訂單不匹配，請求會完全繞過WAF評估直接轉(zhuǎn)發(fā)至客戶主機(jī)。

這一邏輯錯誤將原本有限的證書驗(yàn)證例外變成了影響所有Cloudflare防護(hù)主機(jī)的廣泛安全繞過。

2、攻擊向量與影響范圍

研究人員利用該繞過漏洞展示了針對常見Web框架的多種攻擊方式：

• 在Spring/Tomcat應(yīng)用中，通過_..;/_進(jìn)行servlet路徑遍歷可訪問暴露進(jìn)程環(huán)境、數(shù)據(jù)庫憑證、API令牌和云密鑰的敏感執(zhí)行器端點(diǎn)。
   
• Next.js服務(wù)端渲染應(yīng)用通過直接主機(jī)響應(yīng)泄露運(yùn)營數(shù)據(jù)（這些數(shù)據(jù)本不應(yīng)公開訪問）。
   
• 存在本地文件包含漏洞的PHP應(yīng)用可被利用，攻擊者通過惡意路徑參數(shù)訪問文件系統(tǒng)。
   

除框架特定攻擊外，基于自定義標(biāo)頭攔截請求的賬戶級WAF規(guī)則對ACME路徑流量完全失效。

3、漏洞修復(fù)時間線

FearsOff于2025年10月9日通過Cloudflare的HackerOne漏洞賞金計(jì)劃報告該漏洞。

Cloudflare于10月13日啟動驗(yàn)證，HackerOne于10月14日完成問題分類。

該公司于10月27日部署永久修復(fù)方案，修改代碼使其僅在請求匹配特定主機(jī)名的有效ACME HTTP-01挑戰(zhàn)令牌時禁用安全功能。

修復(fù)后測試證實(shí)WAF規(guī)則現(xiàn)已統(tǒng)一適用于所有路徑（包括先前存在漏洞的ACME挑戰(zhàn)路由）。

Cloudflare表示客戶無需采取任何措施，并確認(rèn)未發(fā)現(xiàn)惡意利用證據(jù)。

源:https://cybersecuritynews.com/cloudflare-zero-day-vulnerability/,本文版權(quán)歸原作者所有,如有侵權(quán)請聯(lián)系我們及時刪除.

 

上一篇：大多數(shù)SOC發(fā)現(xiàn)攻擊時已經(jīng)晚了

下一篇：黑客劫持Snap域名，向Linux軟件包注入