DDoS-защита Cloudflare была обойдена с помощью Cloudflare

watch 8s
views 2

08:07, 03.10.2023

Оказалось, что DDoS-защиту Cloudflare можно обойти с помощью инструментов, предлагаемых самой компанией Cloudflare. Стефан Прокш, австрийский инженер по безопасности, обнаружил уязвимость, воспользовавшись некоторыми логическими недостатками в управлении межклиентской безопасностью. Все, что ему было нужно, - это бесплатная учетная запись Cloudflare и целевой IP-адрес.

Проблема связана с общей инфраструктурой Cloudflare, которая принимает соединения от всех пользователей. Она обладает двумя уязвимостями – одна касается запросов Authenticated Origin Pulls, вторая же касается “белого списка”.

Authenticated Origin Pulls - это функция, обеспечивающая, чтобы запросы, отправляемые на исходный сервер, проходили через Cloudflare (а не от потенциального злоумышленника). Серверы обратного прокси Cloudflare используют SSL-сертификаты для аутентификации на исходном сервере (сервере, на котором размещен сайт). Это позволяет обеспечить безопасность связи между Cloudflare и исходным сервером.

Злоумышленник может воспользоваться этими уязвимостями, выполнив следующие действия:

  1. Злоумышленник устанавливает пользовательский домен в Cloudflare и указывает в DNS A-запись на IP-адрес жертвы (сервер происхождения).
  2. Затем злоумышленник отключает все средства защиты для этого пользовательского домена в своем Cloudflare.
  3. Теперь они могут направлять свои атаки через инфраструктуру Cloudflare, используя общий сертификат, фактически обходя средства защиты, установленные жертвой.

По мнению Прокша, проблема безопасности может быть решена только путем использования пользовательских сертификатов. Однако использование пользовательских сертификатов требует от клиентов создания и поддержки собственных сертификатов origin pull, что может быть менее удобно, чем использование сертификата Cloudflare.

Поделиться

Была ли эта статья полезной для вас?

Популярные предложения VPS

-12.3%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
150 GB SSD
Bandwidth
Bandwidth
Unlimited
10Ge-wKVM-SSD 16384 Windows

237

При оплате за год

-9.3%

CPU
CPU
6 Epyc Cores
RAM
RAM
16 GB
Space
Space
150 GB NVMe
Bandwidth
Bandwidth
Unlimited
wKVM-NVMe 16384 Windows

54.49

При оплате за год

-18.6%

CPU
CPU
4 Xeon Cores
RAM
RAM
4 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
4 TB
wKVM-SSD 4096 Metered Windows

38

При оплате за год

-9.5%

CPU
CPU
8 Xeon Cores
RAM
RAM
32 GB
Space
Space
200 GB SSD
Bandwidth
Bandwidth
Unlimited
wKVM-SSD 32768 Windows

73.99

При оплате за год

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
Keitaro KVM 8192
OS
CentOS
Software
Software
Keitaro

28.99

При оплате за год

-8.9%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
400 GB HDD
Bandwidth
Bandwidth
Unlimited
wKVM-HDD 16384 Windows

56

При оплате за год

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
aiKVM-NVMe 8192 Linux

27.46

При оплате за год

-9.7%

CPU
CPU
10 Xeon Cores
RAM
RAM
64 GB
Space
Space
300 GB SSD
Bandwidth
Bandwidth
Unlimited
wKVM-SSD 65536 Windows

138.99

При оплате за год

-18.4%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
75 GB SSD
Bandwidth
Bandwidth
2 TB
wKVM-SSD 2048 Metered Windows

24

При оплате за год

-20.4%

CPU
CPU
2 Xeon Cores
RAM
RAM
2 GB
Space
Space
30 GB SSD
Bandwidth
Bandwidth
300 GB
KVM-SSD 2048 HK Linux

18

При оплате за год

Другие статьи на эту тему

cookie

Принять файлы cookie и политику конфиденциальности?

Мы используем файлы cookie, чтобы обеспечить вам наилучший опыт работы на нашем сайте. Если вы продолжите работу без изменения настроек, мы будем считать, что вы согласны получать все файлы cookie на сайте HostZealot.