DDoS-захист Cloudflare було обійдено за допомогою Cloudflare

watch 9s
views 2

08:03, 03.10.2023

Виявилося, що DDoS-захист Cloudflare можна обійти за допомогою інструментів, пропонованих самою компанією Cloudflare. Стефан Прокш, австрійський інженер з безпеки, виявив уразливість, скориставшись деякими логічними недоліками в управлінні міжклієнтською безпекою. Усе, що йому було потрібно, - це безкоштовний обліковий запис Cloudflare і цільова IP-адреса.

Проблема пов'язана із загальною інфраструктурою Cloudflare, яка приймає з'єднання від усіх користувачів. Вона має дві вразливості - одна стосується запитів Authenticated Origin Pulls, друга ж стосується "білого списку".

Authenticated Origin Pulls - це функція, що забезпечує, щоб запити, які відправляються на вихідний сервер, проходили через Cloudflare (а не від потенційного зловмисника). Сервери зворотного проксі Cloudflare використовують SSL-сертифікати для аутентифікації на вихідному сервері (сервері, на якому розміщений сайт). Це дає змогу забезпечити безпеку зв'язку між Cloudflare і вихідним сервером.

Зловмисник може скористатися цими вразливостями, виконавши такі дії:

  1. Зловмисник встановлює користувацький домен у Cloudflare і вказує в DNS A-запис на IP-адресу жертви (сервер походження).
  2. Потім зловмисник відключає всі засоби захисту для цього призначеного для користувача домену у своєму Cloudflare.
  3. Тепер вони можуть направляти свої атаки через інфраструктуру Cloudflare, використовуючи загальний сертифікат, фактично обходячи засоби захисту, встановлені жертвою.

На думку Прокша, проблема безпеки може бути вирішена тільки шляхом використання користувацьких сертифікатів. Однак використання користувацьких сертифікатів вимагає від клієнтів створення та підтримки власних сертифікатів origin pull, що може бути менш зручним, ніж використання сертифіката Cloudflare.

Поділитися

Чи була ця стаття корисною для вас?

Популярні пропозиції VPS

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
KVM-NVMe 8192 Linux

26.35

При оплаті за рік

-21.5%

CPU
CPU
2 Xeon Cores
RAM
RAM
2 GB
Space
Space
75 GB SSD
Bandwidth
Bandwidth
300 GB
wKVM-SSD 2048 HK Windows

26

При оплаті за рік

-10%

CPU
CPU
8 Epyc Cores
RAM
RAM
32 GB
Space
Space
200 GB NVMe
Bandwidth
Bandwidth
Unlimited
Keitaro KVM 32768
OS
CentOS
Software
Software
Keitaro

77.54

При оплаті за рік

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
4 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
Unlimited
wKVM-SSD 4096 Windows

18.65

При оплаті за рік

-20.5%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
8 TB
KVM-SSD 8192 Metered Linux

57

При оплаті за рік

-10%

CPU
CPU
10 Xeon Cores
RAM
RAM
64 GB
Space
Space
300 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 65536 Linux

134.99

При оплаті за рік

-10%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
400 GB HDD
Bandwidth
Bandwidth
300 Gb
KVM-HDD HK 16384 Linux

41.04

При оплаті за рік

-15%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
80 Mbps
DDoS Protected SSD-wKVM 8192 Windows

101

При оплаті за рік

-10%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 8192 Linux

25.85

При оплаті за рік

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
4 GB
Space
Space
100 GB HDD
Bandwidth
Bandwidth
Unlimited
KVM-HDD 4096 Linux

15

При оплаті за рік

Інші статті на цю тему

cookie

Чи приймаєте ви файли cookie та політику конфіденційності?

Ми використовуємо файли cookie, щоб забезпечити вам найкращий досвід роботи на нашому сайті. Якщо ви продовжуєте користуватися сайтом, не змінюючи налаштувань, вважайте, що ви згодні на отримання всіх файлів cookie на сайті HostZealot.