Cloudflare hackerato: vulnerabilità zero-day bypassa il WAF
Cloudflare, uno dei leader nella protezione web, ha subito una vulnerabilità zero-day critica nel suo Web Application Firewall (WAF). Questa falla ha permesso di bypassare tutte le regole di sicurezza e accedere direttamente ai server protetti. La buona notizia? Cloudflare ha deployato una correzione permanente il 27 ottobre 2025, e non sono state rilevate exploit maliziose. Se gestisci un sito su Cloudflare, verifica le tue regole WAF per massimizzare la sicurezza.
Questa introduzione non tecnica spiega il problema in modo semplice: immagina un firewall con una porta sul retro lasciata aperta per sbaglio. Gli attaccanti potevano usarla per entrare senza permesso. Ora è chiusa, ma conoscere i dettagli aiuta a prevenire rischi simili.
Il problema spiegato passo per passo
Cloudflare gestisce il traffico web per milioni di siti, filtrando attacchi con il suo WAF avanzato. Le regole personalizzate dei clienti bloccano IP sospetti, payload malevoli e altro. Ma una logica interna ha creato un punto debole.
Il percorso /.well-known/acme-challenge/ è usato per validare certificati SSL con autorità come Let’s Encrypt. Normalmente, solo bot autorizzati lo usano per un file specifico. Cloudflare disabilita temporaneamente il WAF qui per non interferire.
Il guaio? Il sistema non verificava se il token nella richiesta corrispondeva a una sfida attiva per quel dominio. Risultato: qualsiasi richiesta a quel percorso bypassava il WAF e arrivava dritta al server origine, anche se le regole bloccavano tutto il resto.
Come è stata scoperta
Ricercatori di FearsOff l’hanno trovata durante test su applicazioni protette. Hanno configurato WAF per bloccare tutto il traffico, ma le richieste al percorso ACME passavano lo stesso.
Hanno creato ambienti di test:
- Un’app PHP che esponeva variabili d’ambiente e credenziali database.
- Un’app Spring con endpoint sensibili come /actuator/env.
- Un’app Next.js che rivelava dettagli di rendering server-side.
Prova concreta: Regole WAF su header di test venivano ignorate, confermando il bypass totale, inclusi controlli a livello account.
Impatti potenziali
Non era solo accesso a una pagina: dipendeva dall’app backend.
- Dati sensibili: Variabili ambiente, token API, credenziali DB.
- File system: Inclusioni locali file (LFI) permettevano di leggere /etc/hosts o peggio.
- Logica business: Esposizione di endpoint amministrativi non destinati al pubblico.
Il WAF ignorava intestazioni sospette su quel percorso, facilitando attacchi avanzati come SQLi o XSS se l’app era vulnerabile.
Questa falla esisteva da tempo, esponendo siti per settimane prima della scoperta. Fortunatamente, nessun abuso noto.
La risposta e la correzione
Il report è arrivato il 9 ottobre 2025 via HackerOne. Cloudflare ha validato dal 13 ottobre, triage il 14. Fix permanente il 27 ottobre 2025: ora il WAF si disabilita solo se il token matches una sfida valida per l’hostname specifico.
Post-fix, test confermano: regole WAF applicate uniformemente, percorso ACME protetto.
Nessuna azione richiesta ai clienti – la patch è automatica. Cloudflare ha ringraziato i researcher per la disclosure responsabile.
Lezioni per la sicurezza web
- Verifica percorsi sensibili: Controlla se il tuo CDN bypassa filtri su endpoint standard.
- Testa regole WAF: Usa ambienti staging per simulare blocchi totali.
- Monitora log: Cerca accessi anomali a /acme-challenge/.
- Automation: Tool di scanning aiutano a trovare falle simili su scala.
Questa storia sottolinea l’importanza di revisioni logiche nel codice edge, anche per feature ‘sicure’.
Approfondimento tecnico
Dettagli sulla logica flaw
Cloudflare’s edge proxy processa richieste ACME HTTP-01 come segue (pre-fix):
- Rilevamento percorso
/.well-known/acme-challenge/{token}. - Disabilitazione WAF per non bloccare CA bot.
- Mancata validazione: No check se {token} è attivo per hostname.
- Forward diretto a origin server.
Codice pseudo:
if (path.startsWith('/.well-known/acme-challenge/')) {
disableWAF();
proxyToOrigin(request); // Bypass totale!
}
Post-fix:
if (path.startsWith('/.well-known/acme-challenge/') &&
isValidActiveChallenge(hostname, token)) {
disableWAF();
proxyToOrigin(request);
} else {
applyWAF(request);
}
Esempi di exploit
PHP LFI: Richiesta a /.well-known/acme-challenge/?page=../../../../etc/hosts su app vulnerabile espone file system.
Spring Boot: / .well-known/acme-challenge/../actuator/env leak credenziali.
Next.js SSR: Esposizione variabili process.env in risposte.
Regole WAF ignorate includevano:
- Block su header custom (es. X-Test: 1).
- Managed ruleset.
- Custom expressions.
Timeline precisa
| Data | Evento |
|---|---|
| 9 ott 2025 | Report HackerOne da FearsOff |
| 13 ott 2025 | Validazione Cloudflare |
| 14 ott 2025 | Triage HackerOne |
| 27 ott 2025 | Fix deployato |
Raccomandazioni avanzate
- Audit CDN: Scannerizza percorsi ACME su tutti i tuoi zone.
- WAF tuning: Aggiungi regole esplicite per /acme-challenge/ se usi custom CA.
- Origin shielding: Abilita per ridurre esposizione diretta.
- Monitoring: Alert su 200 OK da acme-challenge non attesi.
Per developer: integra validazione token nei tuoi worker se gestisci ACME manualmente.
Contesto più ampio
Cloudflare gestisce miliardi di richieste al minuto. Falle come questa mostrano complessità edge computing. Simili issue in altri CDN? Controlla docs per ACME handling.
Technical deep dive
Questa sezione è per esperti: analizziamo la flaw a livello architetturale.
Cloudflare’s network è un Anycast edge con proxy stateless. Per ACME, genera token per ordini certificati gestiti, serviti da edge.
Flaw root cause: Conditional WAF skip senza authz check. Normale per throughput, ma risky.
Proof-of-concept da FearsOff: Test su cf-php.fearsoff.org ecc., con WAF block all (*) e allow solo IP specifici. ACME bypassava.
Impatto scalabilità: Milioni di zone colpite potenzialmente, ma no exploitation.
Mitigazioni proattive:
- Rate limit su acme-challenge.
- mTLS per CA solo.
- Custom ruleset con path match.
Codice per testare post-fix:
curl -H "X-Test: blockme" https://tuosito.com/.well-known/acme-challenge/xxx
# Ora dovrebbe trigger WAF, non origin
Integrazione con tool: Usa ZAP o Burp per scan bypass. Per enterprise, API HackerOne per monitorare bounty.
Questa vulnerabilità evidenzia evoluzione WAF: da signature-based a logic-aware. Cloudflare’s fix è modello per responsible disclosure.
Fonte: https://www.redhotcyber.com/post/cloudflare-scoperto-un-grave-bypass-che-nessuno-stava-guardando/
